Počet zranitelností rok od roku klesá

Síťová infrastruktura, z internetu dostupné servery, webové prezentace a aplikace drtivé většiny velkých organizací jsou prakticky neustále testovány nejrůznějšími bezpečnostními firmami, organizovanými skupinami i jednotlivci z celého světa.

Nalezení slabého místa v zabezpečení jejich systému nebo objevení nové zranitelnosti je v takovém případě nejen velice prestižní záležitost, protože počet zranitelností rok od roku klesá, ale především se na ní dá velice slušně vydělat. Ať už jejím prodejem podsvětí nebo přímo provozovateli dané aplikace.

Za informaci o nové zranitelnosti obě strany velice rády zaplatí. Provozovatel dané aplikace proto, že si je vědom toho, že včasným odstraněním dané zranitelnosti může zabránit mnohem větší škodě a poškození svého dobrého jména. Podsvětí pak proto, že tímto způsobem se může dostat k citlivým informacím, získat přihlašovací údaje nebo na počítač návštěvníka nainstalovat škodlivý kód.

Za tímto účelem velké firmy usilují o bezpečný vývoj a dále si najímají profesionální týmy, které s každou změnou v jejich systému provádí penetrační testy a snaží se zranitelnost v jejich systému najít dříve než ostatní. Většina zranitelností je pak odhalena a odstraněna ještě dříve, než je nová verze aplikace zpřístupněna klientům.

Nejrůznější Bug Bounty programy je pak třeba vnímat jako takovou poslední pojistku pro případ, že by profesionální týmy provádějící penetrační testy s každou změnou v aplikaci, tuto zranitelnost neodhalily. To, že se v aplikaci určitá zranitelnost nachází již delší dobu, a nebyla dosud odstraněna, neznamená, že její nálezce je první, kdo si jí všiml a nahlásil.

Nálezce je jen jedním z mnoha, který si dané zranitelnosti všiml. Mnozí nálezci však mají tendenci riziko vyplývající z jimi objevené zranitelnosti označovat jako kritické. A mají pocit, že oslovená firma se vůči nim nechová férově, že oni byli skutečně první, kdo na danou zranitelnost upozornili, a že jim firma lže, když jim tvrdí opak. A že tak činí jen proto, aby jim nemusela vyplatit slíbenou odměnu.

Nechci se těchto firem zastávat, ale skutečnost je bohužel taková, že některým firmám trvá odstranění určité zranitelnosti, byť o její existenci vědí, příliš dlouho. Jejich laxní přístup bezpečnostní odborníky dráždí a vyvozují z něj mnohdy scestné závěry a jednají potom neadekvátně. Nejčastěji tak, že informaci o dané zranitelnosti zveřejní a danou firmu pranýřují.

A jaký je váš názor, měly by se informace o zranitelnostech zveřejňovat?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Počet zranitelností rok od roku klesá” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: