Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
7 гипотез об уязвимостях в ПО
22 сентября 2016 |
Готовя вчерашний материал, я наткнулся на интересное исследование " An Empirical Analysis of Software Vendors’ Patching Behavior: Impact of Vulnerability Disclosure ", которое базируется на изучении данных и статистики CERT/CC и SecurityFocus по уязвимостям. И хотя Университет Карнеги-Меллона, а именно его сотрудники являются авторами исследования, опубликовал его в 2006-м году, мне показалось, что озвученные в нем гипотезы имеют место быть и сейчас, спустя 10 лет с момента публикации.
Целью исследования было понять, как раскрытие информации об уязвимости, влияет на время ее устранения? К каким же выводам/гипотезам пришли авторы, проанализировавшие большое количество уязвимостей в самых популярных базах дыр того времени? Их несколько:
- Раскрытие информации об уязвимости снижает время на ее устранение.
- Крупные компании патчат свои продукты быстрее мелких.
- Критические уязвимости патчатся быстрее менее приоритетных.
- Публичные компании устраняют дыры в своих продуктах быстрее частных.
- Уязвимости, попавшие в прицел CERT/CC, устраняются быстрее опубликованных в других источниках.
- Уязвимости, раскрытые через CERT/CC, патчатся быстрее, чем дыры, опубликованные CERT/CC, но раскрытые ранее через иные источники.
- Мнение о том, что в open source продуктах уязвимости патчатся быстрее, чем в проприетарном ПО, не нашло подтверждения.
Все указанные гипотезы подтверждены в отчете цифрами, которые можно перепроверить самостоятельно.
Не могу сказать, что приведенные гипотезы открыли неизвестные миру
истины. Скорее они подтвердили с цифрами в руках известные ранее
предположения. Мне показались заслуживающими внимания 2-я и 4-я
гипотезы. Они говорят о том, что небольшие игроки рынка, и уж тем более
компании частные, менее зависимы от мнения окружающих и поэтому работают
на поле устранения уязвимостей хуже их более публичных и более крупных
"коллег". Отсюда вытекает вывод, что у них процедура SDLC обычно
выстроена гораздо хуже и соответственно уязвимостей в их решениях больше
и устраняются они дольше (если вообще обнаруживаются).
Думаю, что я мог бы добавить сюда еще одну гипотезу - в продуктах
крупных или широко известных компаний уязвимости ищутся чаще, чем в
непопулярных или навязанных (например, законодательством) решениях.
Именно ищутся, а не находятся. Почувствуйте разницу между этими двумя
понятиями. Понятно, что на более популярные продукты усилия
исследователей бросаются чаще и больше, чем на мало кому известное ПО и
оборудование. Помогает этому и запускаемые некоторыми крупными игроками
программы Bug Bounty.
Вывод, который делают авторы исследования, достаточно просто -
раскрытие информации помогает рынку кибербезопасности. Я бы добавил сюда
только одно - раскрытие с соблюдением определенного кодекса поведения
или кодекса этики, если хотите. Но вспоминая, что упоминание
этики у отдельных чудаков вызывает рвотный рефлекс и стойкую
идиосинкразию, я не буду касаться этого вопроса. История рассудит, кто
был прав. Я только напомню
про список риторических вопросов, на которые каждый исследователь,
решившийся раскрывать уязвимости, должен ответить сам себе.
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.