کاهش تعداد حفره‌های امنیتی دنیای IT

محققان تیم X-Force در شرکت IBM پیش‌بینی کرده‌اند امسال از تعداد حفره‌های امنیتی نرم‌افزارها و سایر محصولات دنیای ITکاسته خواهد شد که این کاهش از سال ۲۰۱۱ به بعد بی‌سابقه است.

محققان این شرکت با بررسی گزارش‌های فروشندگان نرم‌افزارها و سایر منابع فعال در حوزه امنیت سایبری توانستند دریابند که در نیمه اول امسال در مجموع حدود ۳۹۰۰ حفره امنیتی کشف شده است. به گفته آنها اگر در نیمه دوم امسال نیز کشف حفره‌های امنیتی با همین نرخ رشد ادامه یابد، در پایان سال شاهد کشف کمتر از ۸ هزار حفره امنیتی خواهیم بود که این رقم چند صد مورد کمتر از میزان حفره‌های کشف شده در دو سال گذشته است.

بر اساس این گزارش، محققان تیم X-Force شرکت IBM اعلام داشتند به سختی می‌توان دلیل اصلی کاهش آمار حفره‌های گزارش شده را اعلام کرد، اما جالب است که تعداد فروشندگان محصولات ITکه امسال از کشف حفره امنیتی خاصی خبر داده‌اند کاهش یافته است. تعداد این فروشندگان از هزار و ۶۰۲ مورد در سال ۲۰۱۳ به ۹۲۶ مورد کاهش یافته است.

کارشناسان امنيتی پیش از این هشدار داده بودند که کاهش میزان حفره‌های امنیتی به معنای کاهش تاثیر آنها نیست، چرا که در بسیاری از مواقع، خطرات واقعی فقط از چند حفره محدود سرچشمه می‌گیرد. علیرغم اینکه برای سنجش تاثیرات حفره‌های امنیتی شاخص‌هایی مثل CVSS وجود دارد، اما غالباً سنجش تاثیرات این حفره‌ها چندان دقیق نیست. حفره امنیتی خونریزی قلبی مثال خوبی در این زمینه است. شاخص CVSS به این حفره نمره ۵ (از ۱۰) داده بود. این بدان معنا بود که میزان خطرات ناشی از این حفره در حد متوسط است. اما همانطور که مشاهده کردیم تاثیرات مخرب این حفره در عمل بسیار بیشتر از این برآورد شد.

یافته‌های محققان IBM نشان می دهند که حدود ۶۷ درصد از حفره‌های امنیتی کشف شده در نیمه اول امسال در دسته حفره‌های امنیتی متوسط ارزیابی شده‌اند. حفره‌هایی که از نظر این شاخص نمره‌ای بین ۴ تا ۶.۹ دارند در این مقوله جای می‌گیرند.

 IBM معتقد است بسیاری از سازمان‌ها معمولاً حفره‌هایی که دارای درجه آسیب‌رسانی متوسط هستند را چندان جدی نمی‌گیرند و همین امر آنها را به شدت در معرض خطر قرار می دهد.