Történelmi csúcson a sebezhetőségek. Ha vírusokról, kártevőkről beszélünk, egyértelmű, hogy eközben a különféle nyitott biztonsági rések, javítatlan sérülékenységek aktív kihasználásáról is szó van.
Sok remek ábra lát napvilágot a témában, az egyik kedvenc, amelyik az utóbbi évek nagy volumenű adatlopásait mutatja meg grafikus formában, és közben azt is jelzi egyes területeken, hogy volt-e az adott cégnek bug bounty programja.
Egyik korábbi posztunkban a CVE 2016-os listájából szemezgetve pedig megírtuk, hogy az Android sebezhetőségek vezették az akkori képzeletbeli ranglistát.
Nézzük meg most a CVE 2017-es adatokat, vajon mennyiben romlott a helyzet! Tavaly több, mint 14.700 sebezhetőséget jelentettek be, ez az előző évben "csak" 6447 volt, vagyis több, mint a duplájára nőtt ez a szám, 120 százalékos emelkedésnek felel meg.
Fontos azonban kiemelni, hogy a növekedés vélhetően jóval nagyobb, hiszen a támadók által javában kihasznált zero dayek ebben még nem szerepelnek. Ha napokra bontjuk, így átlagosan 40 sebezhetőség került bejelentésre naponta, ez az előző esztendőben 17 volt.
Ha mélyebbre nézünk, az is látszik, hogy a súlyos, kritikus sérülékenységek száma is növekedett. A bejelentett sebezhetőségeket egy számszerűsített pontozásos rendszer alapján (The Common Vulnerability Score System, CVSS) osztályba sorolják, értékelve például az adott biztonsági rés egyediségét, súlyosságát.
A CVSS 3.0 rendszerben már öt kategóriával írják le ezeket, a leginkább aggasztóak a kritikus besorolásba kerülnek.
Amint az a mellékelt grafikon is jól látszik, a CVSS 3.0 szerinti kritikus hibák száma is megduplázódott a 2016-os szinthez viszonyítva.
Összességében elmondhatjuk, hogy a 2017. a sebezhetősége éve volt. És ezt az állítást fenn is lehet tartani egészen a 2018-as év értékeléséig, amikor is várhatóan még súlyosabb, a korábbiaknál is gyorsabb növekedésről láthatunk majd új mérőszámokat.
Garai László 2018.02.09. 13:37:23