Исследование: уязвимостей становится меньше

Рост количества уязвимостей продолжается, но его темпы сильно замедлились, утверждает компания Mitre, ведущая проект «Тезаурус уязвимостей» (CVE, Common Vulnerability and Exposures). За первые четыре месяца года был отмечен лишь 5% рост против 60% за тот же период прошлого года, сообщает DarkReading.com.

С января по апрель включительно проект пополнился 2245 сообщениями, в то время как с января по апрель 2006 года их добавилось 2143. Команда IBM-ISS X-Force подтверждает утверждения CVE: с января по середину мая прошлого года она собрала 2419 уязвимостей, что на 39,5% больше, чем в 2005, а в этом году за тот же период – 2553.

По словам Гюнтера Оллманна (Gunter Ollmann), директора IBM-ISS по стратегии безопасности, показатели первых месяцев по-прежнему бьют рекорды, но «в этом году они будут относительно умеренными». По его прогнозам в течение года будет раскрыто порядка 8,5 тыс. уязвимостей против 7247 в 2006.

Эксперты считают, что дело не в более надёжном ПО, а в большей закрытости. Всё больше специалистов по безопасности находят работу у крупных вендоров, которые закрывают уязвимости по мере обнаружения, не сообщая о них публично. Ещё один фактор связан с компьютерной преступностью: уязвимости нулевого дня можно продать на чёрном рынке за большие деньги. В «тезаурусе уязвимостей» крупные и опасные ошибки составляют всего 20%.

По мнению старшего инженера по информационной безопасности Mitre Стива Кристи (Steve Christey), есть и другие причины замедления роста. В частности, это улучшение процесса анализа уязвимостей, попадающих в CVE. В предыдущие 2 года также резко выросло число независимых исследователей безопасности, что не могло не повлиять на рост количества найденных ими ошибок. В этом году, считает Кристи, была достигнута критическая масса.

Не последнюю роль в уменьшении числа уязвимостей сыграла и Vista, за которую ещё не успели взяться по-настоящему, а новые функции защиты сильно повысили её надёжность, считает Оллманн.

Изменяется и рынок исследователей. «3-5 лет назад целью многих начинающих исследователей было обнаружение и публикация уязвимостей, и получение благодарности. Затем он обнаружили, что можно зарабатывать деньги, предлагая коммерческие услуги поиска». Некоторые софтверные компании скрывают наличие уязвимостей до выпуска обновления, но и после обновления об ошибке могут и не упомянуть.

По словам Кристи, существует ряд новых видов уязвимостей, которые под силу только квалифицированным экспертам. Это переполнения целочисленных значений и «мягкое» переполнение буфера.

И, наконец, на количество найденных уязвимостей влияют времена года. Летом исследователи отдыхают, а осенью снова берутся за работу, и показатели растут.

©  CNews