- Регистрация
- 26.10.16
- Сообщения
- 2,246
- Онлайн
- 42д 6ч 53м
- Сделки
- 251
- Нарушения
- 0 / 0
Получена и другая интересная информация. Она позволяет узнать средний период активности уязвимостей, распределение по степени важности, а также средний срок, за который выявленные угрозы исправляются разработчиками.
На таблице выше продемонстрирован средний срок устранения уязвимостей разработчиками программного обеспечения. Так как статистика глобальная и собрана по огромному числу уязвимостей, данные сильно усреднены. Однако даже так видно общую тенденцию: более серьёзные уязвимости устраняются быстрее, чем «средние» и «низкие» по степени критичности.
Понятно, что некоторые «критичные» уязвимости устраняются гораздо быстрее указанного в графике времени. В отдельных случаях на закрытие бреши требуется буквально несколько дней. Однако большинство угроз, по статистике Security Navigator, активны от 75 до 300 дней, что довольно долго, если мы говорим о кибербезопасности и всех возможных рисках.
Что ещё интереснее, по результатам исследования многие уязвимости просто не устраняются после обнаружения. Никогда. Например, существует около 0,5% уязвимостей, которые были обнаружены ещё в 1999 году. И они до сих пор не устранены. Вероятно, они останутся с нами навсегда.
Происходит такое по самым разным причинам. Например, из-за узконаправленности угрозы, обнаружении её в неактуальных/старых версиях ПО или банально из-за недостатка ресурсов компании, которые можно выделить на устранение бреши.
Недавно мы как раз рассказывали о том, как компания Cisco отказалась исправлять критические уязвимости в старом, но до сих пор используемом оборудовании. А вот корпорация Microsoft в своё время показала себе с лучшей стороны, и выпустила обновление безопасности даже для совсем старых операционных систем, лишь бы уберечь пользователей от возможной угрозы.
Будем надеяться, что как можно больше компаний в будущем будут следовать примеру Microsoft и устранять критические уязвимости даже в уже неподдерживаемом программном обеспечении.
