کاهش تعداد حفرههای امنیتی دنیای IT
محققان تیم X-Force در شرکت IBM پیشبینی کردهاند امسال از تعداد حفرههای امنیتی نرمافزارها و سایر محصولات دنیای ITکاسته خواهد شد که این کاهش از سال ۲۰۱۱ به بعد بیسابقه است.
محققان این شرکت با بررسی گزارشهای فروشندگان نرمافزارها و سایر منابع فعال در حوزه امنیت سایبری توانستند دریابند که در نیمه اول امسال در مجموع حدود ۳۹۰۰ حفره امنیتی کشف شده است. به گفته آنها اگر در نیمه دوم امسال نیز کشف حفرههای امنیتی با همین نرخ رشد ادامه یابد، در پایان سال شاهد کشف کمتر از ۸ هزار حفره امنیتی خواهیم بود که این رقم چند صد مورد کمتر از میزان حفرههای کشف شده در دو سال گذشته است.
بر اساس این گزارش، محققان تیم X-Force شرکت IBM اعلام داشتند به سختی میتوان دلیل اصلی کاهش آمار حفرههای گزارش شده را اعلام کرد، اما جالب است که تعداد فروشندگان محصولات ITکه امسال از کشف حفره امنیتی خاصی خبر دادهاند کاهش یافته است. تعداد این فروشندگان از هزار و ۶۰۲ مورد در سال ۲۰۱۳ به ۹۲۶ مورد کاهش یافته است.
کارشناسان امنيتی پیش از این هشدار داده بودند که کاهش میزان حفرههای امنیتی به معنای کاهش تاثیر آنها نیست، چرا که در بسیاری از مواقع، خطرات واقعی فقط از چند حفره محدود سرچشمه میگیرد. علیرغم اینکه برای سنجش تاثیرات حفرههای امنیتی شاخصهایی مثل CVSS وجود دارد، اما غالباً سنجش تاثیرات این حفرهها چندان دقیق نیست. حفره امنیتی خونریزی قلبی مثال خوبی در این زمینه است. شاخص CVSS به این حفره نمره ۵ (از ۱۰) داده بود. این بدان معنا بود که میزان خطرات ناشی از این حفره در حد متوسط است. اما همانطور که مشاهده کردیم تاثیرات مخرب این حفره در عمل بسیار بیشتر از این برآورد شد.
یافتههای محققان IBM نشان می دهند که حدود ۶۷ درصد از حفرههای امنیتی کشف شده در نیمه اول امسال در دسته حفرههای امنیتی متوسط ارزیابی شدهاند. حفرههایی که از نظر این شاخص نمرهای بین ۴ تا ۶.۹ دارند در این مقوله جای میگیرند.
IBM معتقد است بسیاری از سازمانها معمولاً حفرههایی که دارای درجه آسیبرسانی متوسط هستند را چندان جدی نمیگیرند و همین امر آنها را به شدت در معرض خطر قرار می دهد.