Киберугрозы и риски в исследовании HP

--> Дата: Фев 24, 2014 36

Корпорация HP представила Cyber Risk Report 2013 – исследование ландшафта киберугроз за 2013 г. В нем содержится статистика актуальных угроз кибербезопасности, прогнозы для отрасли, а также описаны наиболее эффективные решения для повышения эффективности противодействия хакерским атакам. Отчет подготовлен аналитиками HP Security Research.

Согласно выводам аналитиков, наиболее важным фактором роста киберугроз в прошедшем году стало распространение мобильных устройств, незащищенного ПО и платформ Java.

Согласно данным отчета, в 2013 г. общее количество раскрытых уязвимостей сократилось на 6% по сравнению с предыдущим годом; количество критичных уязвимостей – на 9% (сокращается уже четвертый год). Эти данные, хотя и дают основание для сдержанного оптимизма, свидетельствуют и о том, что информация об обнаруженных уязвимостях становится предметом торговли на «черном» рынке. Около 80% проанализированных приложений содержали уязвимости вне исходного кода. Иными словами, сегодня даже качественное легальное ПО при неверной настройке может стать источником угрозы.

Среди мобильных приложений в 46% неправильно используются технологии шифрования. Согласно результатам исследования, многие разработчики мобильного ПО банально забывают использовать шифрование для защиты данных пользователя. Другие применяют слабо защищенные алгоритмы, третьи неправильно обращаются с технологиями шифрования, что сводит их эффективность к нулю.

Наибольшую опасность для пользователей Java представляют уязвимости, связанные с обходом «песочницы». Хакеры взяли на вооружение новую тактику — сегодня они предпочитают атаковать сразу несколько известных и новых уязвимостей, чтобы повысить шансы взлома системы.

Аналитики HP дают следующие рекомендации

учитывая увеличение количества кибератак и, следовательно, роста потребности в защищенном ПО необходимо исключить возможность ненамеренного раскрытия информации, которая может оказаться на руку хакерам;
разработчики и пользователи должны хорошо представлять себе угрозы безопасности в коде, разрабатываемом третьими сторонами, особенно если речь идет о гибридных платформах разработки мобильных приложений. Необходимо выработать свод рекомендаций по кибербезопасности для защиты приложений и их пользователей;
эффективный обмен знаниями в сфере кибербезопасности помогает лучше понять тактики хакеров и научиться действовать на опережение вместо того, чтобы «реагировать на проблемы».

HP публикует отчет Cyber Risk Report с 2009 г. При его подготовке HP Security Research задействует различные внутренние и внешние ресурсы, в том числе результаты проекта HP Zero Day Initiative, рейтинги HP Fortify on Demand, данные HP Fortify Software Security Research, ReversingLabs и Национальной базы данных об уязвимостях.