Специалисты Security Navigator провели масштабный анализ уязвимостей и раскрыли множество полезной информации. По их данным, ежедневно по всему миру выявляется около 22 новых угроз в самых разных отраслях. А самым старым, до сих пор не исправленным актуальным уязвимостям уже более 20 лет!
Получена и другая интересная информация. Она позволяет узнать средний период активности уязвимостей, распределение по степени важности, а также средний срок, за который выявленные угрозы исправляются разработчиками.
Возраст найденных уязвимостей по степени критичности
На таблице выше продемонстрирован средний срок устранения уязвимостей разработчиками программного обеспечения. Так как статистика глобальная и собрана по огромному числу уязвимостей, данные сильно усреднены. Однако даже так видно общую тенденцию: более серьёзные уязвимости устраняются быстрее, чем “средние” и “низкие” по степени критичности.
Понятно, что некоторые “критичные” уязвимости устраняются гораздо быстрее указанного в графике времени. В отдельных случаях на закрытие бреши требуется буквально несколько дней. Однако большинство угроз, по статистике Security Navigator, активны от 75 до 300 дней, что довольно долго, если мы говорим о кибербезопасности и всех возможных рисках.
Что ещё интереснее, по результатам исследования многие уязвимости просто не устраняются после обнаружения. Никогда. Например, существует около 0,5% уязвимостей, которые были обнаружены ещё в 1999 году. И они до сих пор не устранены. Вероятно, они останутся с нами навсегда.
Неисправленные уязвимости, обнаруженные с 1999 по 2022 год
Происходит такое по самым разным причинам. Например, из-за узконаправленности угрозы, обнаружении её в неактуальных/старых версиях ПО или банально из-за недостатка ресурсов компании, которые можно выделить на устранение бреши.
Недавно мы как раз рассказывали о том, как компания Cisco отказалась исправлять критические уязвимости в старом, но до сих пор используемом оборудовании. А вот корпорация Microsoft в своё время показала себе с лучшей стороны , и выпустила обновление безопасности даже для совсем старых операционных систем, лишь бы уберечь пользователей от возможной угрозы.
Будем надеяться, что как можно больше компаний в будущем будут следовать примеру Microsoft и устранять критические уязвимости даже в уже неподдерживаемом программном обеспечении.