Video: Фильм 14+ «История первой любви» Смотреть в HD (Oktober 2024)
Det sveitsiske infosec-selskapet High-Tech Bridge gjorde nyheten i fjor ved å skammet Yahoo til å tilby mer enn bare en T-skjorte som en bug-bounty. Den slags forskning er ikke hva HTB-forskere gjør hver dag. Deres hovedfokus er å identifisere sårbarheter og frigjøre sikkerhetsrådgivere knyttet til funnene deres. Gruppen ga ut 62 rådgivere i 2013, og så en generell forbedring i industriens respons.
Raskere reparasjoner
I følge en nettopp utgitt HTB-rapport ga leverandører ut lapper for rapporterte problemer mye raskere enn i 2012. Også, "de aller fleste leverandører varslet sluttbrukerne om sårbarheter på en rettferdig og rask måte, " hvor det tidligere var mange har lydløst lappet problemet eller bagatellisert risikoen. Rapporten ropte Mijosoft (ikke Microsoft) for dårlig sikkerhetspraksis.
Gjennomsnittlig tid for å korrigere kritiske sårbarheter gikk ned fra 17 dager i 2012 til 11 dager i 2013, en imponerende reduksjon. Sårbarheter med middels risiko gjorde det enda bedre, og gikk fra 29 dager til 13 dager. Det er fremgang, men det er rom for forbedringer. Rapporten bemerker at "11 dager å korrigere kritiske sårbarheter er fortsatt en ganske lang forsinkelse."
Økt kompleksitet
I følge rapporten blir det tøffere for skurkene å identifisere og utnytte kritiske sårbarheter. De må ty til teknikker som kjedede angrep, hvor utnyttelse av en kritisk sårbarhet kun er mulig etter å ha brutt et ikke-kritisk.
Ganske mange sårbarheter ble nedjustert fra høy risiko eller kritisk til middels risiko i løpet av 2013. Spesielt er dette utnyttelser som bare kan utføres etter at angriperen er autentisert eller logget inn. Rapporten bemerker at utviklere trenger å tenke på sikkerhet selv i områder bare tilgjengelig for pålitelige brukere, siden noen av de pålitelige partiene "kan være ganske fiendtlige."
Internt utviklere må være ekstra oppmerksom på sikkerhet. SQL-injeksjon og cross-site scripting er de vanligste angrepene, og interne applikasjoner er de vanligste ofrene for slike angrep, med 40 prosent. Content Management System (CMS) plugins er neste, med 30 prosent, etterfulgt av små CMS-er på 25 prosent. Brudd på virkelig store CMS-er som Joomla og WordPress gir store nyheter, men ifølge HTB utgjør de bare fem prosent av totalen. Mange bloggplattformer og CMS forblir sårbare bare fordi eierne ikke klarer å holde dem fullstendig oppdaterte, eller ikke klarer å konfigurere dem ordentlig.
Så, hvordan unngår du at nettstedet ditt eller CMS går på akkord? Rapporten konkluderer med at du trenger "hybridtesting når automatisert testing er kombinert med manuell sikkerhetstesting av et menneske." Det vil ikke komme som noen overraskelse å vite at High Tech Bridge tilbyr akkurat denne typen testing. Men de har rett. For virkelig sikkerhet, vil du at de gode gutta skal angripe og vise deg hva du trenger å fikse.
