Большинство организаций тратят в среднем 100–120 дней на то, чтобы пропатчить уязвимость, сообщает Help Net Security, ссылаясь на исследование Kenna Security.

К такому выводу специалисты пришли после того, как проанализировали ситуацию с безопасностью в 50 тыс. организаций, изучили 250 млн уязвимостей и свыше 1 млрд инцидентов с января 2014 года по сентябрь 2015 года. По словам экспертов, компании регулярно оставляют уязвимости незакрытыми достаточно долго, чтобы злоумышленники успевали ими воспользоваться в своих интересах.

По данным экспертов, количество автоматизированных эксплойтов растет — в 2015 году их оказалось 1,2 млрд. Если учесть 220 млн в 2013 и 2014 годах совокупно, то прирост составил 445%.

Наконец, мало того, что компаниям требуется 100–120 дней на закрытие уязвимостей, так еще многие организации оставляют критические бреши вовсе без патчей.

Вместе с тем исследователи настаивают, что злоумышленники почти гарантированно пользуются оставленными для них лазейками в системах безопасности. Вероятность эксплуатации уязвимости в период между 40 и 60 днями после ее открытия составляет 90%. Поскольку компании не готовы патчить баги в течение этого времени, то, скорее всего, у злоумышленников будет как минимум 60 дней, чтобы извлечь выгоду из дыры в системе безопасности.

Стоит отметить, что в автоиндустрии даже был зарегистрирован курьезный случай, когда компании General Motors понадобилось целых пять лет, чтобы закрыть уязвимость в OnStar — системе управления автомобилем. Обнаруженный в 2010 году недостаток в ней позволял хакеру получить полный контроль над бортовым компьютером транспортного средства и всеми функциями машины. Для этого злоумышленник просто связывался с OnStar по телефонному номеру, ассоциированному с системой, и воспроизводил вредоносный звуковой сигнал, который и открывал ему доступ к бортовому компьютеру.

Компания пыталась исправить баг еще в 2011 году, блокируя все соединения из системы OnStar с любым другим IP, не принадлежащим серверам GM. По некой причине сделать это не удалось, и лишь в 2015 году вышло обновление, закрывающее брешь.

Категории: Аналитика, Уязвимости