Большинство уязвимостей сначала раскрываются online и в даркнете

Порядка семидесяти пяти процентов обнаруженных критических багов публикуют в открытом доступе вебсайты до того, как те будут выложены в Нацбазе уязвимостей. На ресурсах с новостями, в личных блогах и на страничках социальных сетей , включая дарквеб детали об уязвимостях в программном обеспечении на базе анализа найденных в начале прошлого года сведения о более чем двенадцати с половиной тысячах багов.

Как говорят эксперты, в основном существует недельная задержка перед публикацией уязвимости в глобальной сети и затем последующей регистрацией в Национальной базе уязвимостей. За эту неделю компаниям грозит большой риск хакерских нападений, что делает сомнительным авторитетность основных каналов по уязвимостям, говорят профессионалы. Диапазон дат с момента выпуска уведомления от разработчика и так вплоть до внедрения его в Национальную базу уязвимостей может быть еще дольше.

Каждая двадцатая уязвимость (пять процентов) публикуется в даркнете до того момента, как выходит в Национальной базе уязвимостей. Например, proof-of-concept код для эксплуатации баги в Dirty Cow был выложен в массы на сервисе публикаций за пятнадцать дней до Национальной базы уязвимостей. Через двое суток после публикации ра Pastebin сообщение перевели на русский и выложили на форуме, где сидят киберпреступники. Больше пятиста обнаруженных багов все еще не находятся в Национальной базе уязвимостей, которая была разработана в Институте стандартов Соединенных Штатов Америки и является репозиторием информации об эксплуатации и исправлению багов.

Заметили опечатку или ошибку? Выделите текст и нажмите Ctrl+Enter, чтобы сообщить нам о ней.

Материалы партнеров:

Читайте другие новости: