Cảnh báo an ninh mạng: 34% các lỗ hổng được tìm thấy trong năm nay vẫn chưa được sửa chữa

0
24

        Tổng số lỗ hổng được báo cáo trong nửa đầu năm 2019 đã giảm nhẹ so với năm ngoái, nhưng rủi ro vẫn ở mức cao, theo Risk Dựa Security.
    

        
                                                                                    
                        
    
        

                 [1945901] [[ [19459008[ [1945901] ]
    

     Chuyên gia bảo mật Frank Abagnale: Bỏ thẻ ghi nợ và đóng băng tín dụng của bạn
     Con người đã biến chuyên gia an ninh mạng Frank Abagnale nói chuyện với Karen Roby của TechRepublic về các bước mà mọi người có thể thực hiện để bảo vệ danh tính của họ và khuyến khích thực hành tín dụng tốt hơn.
    

    

Một báo cáo giữa năm về các lỗ hổng được tìm thấy cho đến năm 2019 từ Bảo mật dựa trên rủi ro sẽ khiến các chuyên gia bảo mật chú ý: Có một số rủi ro nghiêm trọng ngoài đó.

Trong nửa đầu năm 2019, đã có khoảng 4.000 mục nhập ít hơn trong cơ sở dữ liệu khai thác và khai thác (CVE) phổ biến, nhưng đó không phải là lý do để bắt đầu nghỉ ngơi dễ dàng: 34% trong số 11.092 lỗ hổng được báo cáo vẫn chưa được khắc phục.

] 10 lỗ hổng ứng dụng nguy hiểm cần chú ý (PDF miễn phí) (TechRepublic)

Dẫn đầu gói với 24,1% tất cả các lỗ hổng giữa chúng là năm công ty trong Sở thích công cộng (Debian và các nền tảng liên quan), SUSE, Oracle, IBM và Microsoft.

    
        

Với sự phổ biến của các nền tảng từ các tổ chức đó, thật hợp lý khi cho rằng tổ chức của bạn bị ảnh hưởng bởi ít nhất một trong số hơn 11.000 lỗ hổng được báo cáo vào năm 2019 và có thể bởi một số vẫn chưa được khắc phục.

Những loại lỗ hổng nào đang là xu hướng trong năm 2019?

Có nhiều loại lỗ hổng khác nhau được đưa vào báo cáo, nhưng phổ biến nhất (chiếm 53% báo cáo trong năm 2019) là các loại từ xa. Các lỗ hổng từ xa là bất kỳ điều gì xảy ra trên mạng và bị tấn công bởi kẻ tấn công mà không có quyền truy cập trước vào hệ thống.

Cách phổ biến nhất được thực hiện là thông qua thao tác nhập liệu, tấn công SQL. Kẻ tấn công sử dụng thao tác nhập liệu có thể gửi các tập lệnh độc hại thông qua trường nhập liệu (ví dụ: đăng ký email, đăng ký tài khoản, tìm kiếm trang web, v.v.) dẫn đến cơ sở dữ liệu của trang web cung cấp tất cả các loại thông tin nhạy cảm cho kẻ tấn công.

Thao túng đầu vào chiếm 66% các trường hợp lỗ hổng được báo cáo cho đến năm 2019, tiếp tục xu hướng mà Bảo mật Dựa trên Rủi ro cho biết đã xảy ra trong nhiều năm. Các cuộc tấn công SQL SQL, một trong những hình thức thao túng đầu vào lâu đời nhất và phổ biến nhất, đã trở thành một vấn đề kể từ buổi bình minh của internet, và sự phổ biến của chúng cho thấy chúng có thể sẽ tiếp tục như vậy.

Cùng với điều khiển từ xa các lỗ hổng, phụ thuộc vào ngữ cảnh, khai thác cục bộ và di động tạo ra danh sách, nhưng với tỷ lệ nhỏ so với các phần mềm từ xa.

Nói tóm lại, cách rất có thể các hệ thống của bạn sẽ bị tấn công là với một cuộc tấn công từ xa đang cố gắng khai thác các lỗ hổng thao tác đầu vào.

Điều gì có thể được thực hiện để chống lại các khai thác phổ biến nhất của năm 2019?

"Mặc dù có vẻ như là một vấn đề dễ giải quyết, nhưng chúng tôi đã tóm tắt 'Tôi sẽ chỉ vệ sinh đầu vào!', nó thường phức tạp hơn trong thực tế ", báo cáo cho biết.

Vệ sinh đầu vào là một cách tuyệt vời để tránh các cuộc tấn công thao túng đầu vào, nhưng khó có thể quay lại và kiểm tra mã cũ để tìm lỗ hổng, vì "nhiều tổ chức vẫn chưa có quy trình nghiêm ngặt để kiểm tra mã nguồn của họ cho các vấn đề như vậy mặc dù nhiều người có một quá trình trưởng thành khác, "báo cáo cho biết thêm.

Một khía cạnh sáng chói khác của báo cáo khiến việc giải quyết các lỗ hổng này trở nên khó khăn là con số tuyệt đối vẫn chưa được giải quyết: Khoảng 3.771 trong số 11.092 lỗ hổng trong năm 2019 phù hợp với tiêu chí đó. về trí thông minh dễ bị tổn thương tại Bảo mật dựa trên rủi ro, các tổ chức được đề xuất mua một công cụ quét lỗ hổng có khả năng xem xét toàn bộ không gian IP và tất cả các thiết bị trên đó. "Nếu một tổ chức đang sử dụng quét lỗ hổng, họ có thể đơn giản là không biết về tất cả tài sản của họ", Martin nói trong báo cáo, vì vậy hãy chắc chắn các công cụ bạn đã thiết kế cho loại tổ chức bạn điều hành.

Cùng với việc áp dụng một tổ chức chính sách quét tích cực nên đảm bảo giữ cho các hệ thống được cập nhật và vá lỗi: 66% các lỗ hổng được báo cáo trong năm 2019 có thể được giải quyết theo một trong hai cách sau.

Bạn có thể đọc báo cáo đầy đủ trên trang web của Risk Dựa Security.

                                                                                

                                                

Cũng xem

 Truy cập ổ khóa bảo mật kỹ thuật số "width =" 770 "/> </span><figcaption>
<p>
                                            Hình ảnh: iStockphoto / ktsimage<br />
                                        </p>
</figcaption></figure>
</p></div>
</pre>
<div class=