ИБ-исследователи vs. вендоры: кто в ответе за безопасность ПО?

Che Browser Antidetect
Сервисы от NOVA

Support81

Original poster
Administrator
Сообщения
700
Реакции
194
Посетить сайт
Задержки в выпуске обновлений могут поставить под угрозу компании и целые отрасли.
devel.jpg


Компания

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

собственного опыта взаимодействия с производителями программного обеспечения в сфере раскрытия уязвимостей. Результаты показали, что в 2022-2023 годах 57% вендоров оперативно реагировали на запросы исследователей. Однако лишь 14% компаний-разработчиков ПО выпускали исправления в оптимально короткие сроки и только 27% вендоров имеют прозрачную и явно указанную политику раскрытия уязвимостей в своем ПО.

Впервые выявленные недостатки безопасности, о которых производитель еще не знает и для которых не существует патчей, называют уязвимостями нулевого дня. Как только вендор узнаёт о подобном недочёте, крайне важно незамедлительно выпустить обновление, поскольку задержки дают злоумышленникам всё больше возможностей эксплуатировать такие уязвимости в своих атаках.

Число выявляемых уязвимостей неуклонно растёт: в 2023 году их количество (28 902) превзошло показатели предыдущих двух лет на 42% и 14% соответственно. Более того, каждый инцидент и утечка данных обходятся бизнесу всё дороже:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, средняя стоимость утечки за последние три года подскочила на 15%, достигнув 4,45 млн долларов США. В связи с этим для усиления защиты особую роль приобретает выстраивание доверительных и прозрачных взаимоотношений между разработчиками ПО и исследователями в сфере ИБ.

Задержки в ответственном раскрытии данных об уязвимостях чреваты также ростом атак на цепочки поставок: за первые три квартала 2023 года число инцидентов такого рода

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

по сравнению с показателями за весь 2022.

Positive Technologies придерживается принципов скоординированного раскрытия в случаях обнаружения уязвимостей в продуктах вендоров. При таком подходе в процессе наряду с исследователями и производителем ПО участвуют регуляторы и организации, выступающие посредниками во взаимодействии с поставщиками.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

 
Название темы
Автор Заголовок Раздел Ответы Дата
Support81 Был героем – стал злодеем: почему уставшие ИБ-специалисты встают на путь криминала Новости в сети 0
Support81 2023 год в ИБ: восемь самых интересных операций, взломов и арестов Новости в сети 0
E Приглашаем к сотрудничеству, как отдельных специалистов, так и команды (в сфере ИТ/ИБ) Предоставляю работу. Ищу специалиста. 0
CMDfromBAT Интересно КАВЕР НА ГОРОД ПОД ПОДОШВОЙ или КОНКУРС НА ЛУЧШИЙ РЭП ПРО ИБ Свободное общение и флейм 6
D Ищем специалиста по ИБ и пентесту Предоставляю работу. Ищу специалиста. 1
CMDfromBAT Интересно Команда ИБ-специалистов ищет работенку Ищу работу. Предлагаю свои услуги. 3
S Интересно Поиск специалистов по ИБ Свободное общение и флейм 5
Support81 Эпидемия RAT: исследователи отмечают стремительный рост активности троянов удалённого доступа Новости в сети 0

Название темы