Az USA Nemzeti Szabványügyi és Techológiai Intézete (National Institute of Standards and Technology - NIST) minden évben számot vet azzal, hogy aktuálisan hány újfajta, informatikai rendszereket érintő sérülékenységre bukkantak a világban. Az idei jelentés abból a szempontból nem hozott változást, hogy ismét rekordot döntött a friss biztonsági rések száma. Legutóbb ugyanis 2016-ban sikerült csökkenést regisztrálni az újonnan felfedezett sérülékenységek mennyiségben.

A NIST adatai 2021-ben 18 378 darab problémával gazdagodott az információbiztonság felett őrködő szakemberek munkája. Ez ha csak néhány darabbal is, de több, mint a tavaly ilyenkor kimutatott mennyiség. A sérülékenységek veszélyességi besorolása szerinti bontás viszont mutat egy kis pozitív elváltozást.

Az újonnan felfedezett sérülékenységek alakulása súlyossági szintek szerint (zöld: magas, narancs: közepes, kék: alacsony). Forrás: NIST

A legsúlyosabb kategóriában ugyanis idén "csak" 3 644 esetet regisztráltak, miközben 2020-ban 4 381-en állt ugyanez a mutató. Az összesített rekord eléréséhez ennek megfelelően az kellett, hogy a közepes és az alacsony besorolású biztonsági réseknél szaporodjanak fel az elemszámok.

Ahogy vesszük

A számokat kommentáló biztonsági szakértők közül voltak olyanok, akiket kifejezetten meglepett a súlyos esetek csökkenése, de mások szerint ez egybevág az év közben gyűjtött tapasztalatokkal. A Bugcrowd műszaki igazgatója a ZDNetnek nyilatkozva azt fejtegette, hogy a technológiai fejlődés felgyorsulásával óhatatlanul együtt jár a rendszerekben meglévő potenciális hibák növekedése. A szakember a kisebb jelentőségű sérülékenységek növekedését pedig azzal magyarázta, hogy a kevésbé fajsúlyos eseteket könnyebb felfedezni, és általában gyakrabban is jelentik be ezeket. (Arre persze mindez nem ad választ, hogy egyik évről a másikra miért mozdultak el a súlypontok.)

A K2 Cyber Security vezérigazgatója viszont a fejlesztői munka minőségének javulásában látja a magas kockázati besorolású ügyek visszaszorulásának okát. Meglátása szerint az elmúlt években sok szervezetnél jelentősen átértékelték a fejlesztői munka során alkalmazott prioritási listát, ami a biztonsági szempontok erősödését hozta. A koronavírus megjelenése ugyanakkor ellentétes hatást váltott ki azzal, hogy a cégeknek gyorsan kellett megoldásokat találni a rendkívüli helyzetre, ami óhatatlanul növelte a hibalehetőségek esélyét. (Ezzel kapcsolatban érdemes megjegyezni, hogy a pandémia előtt, 2017 és 2019 között is fokozatosan emelkedett az újonnan felfedezett sebezhetőségek száma.) 

Más szakértők pedig arra hívták fel a figyelmet, hogy a folyamatosan növekvő új esetszám azért különösen veszélyes, mert a biztonsági szakembereknek még a korábbi években felfedezett réseket sem sikerül maradéktalanul befoltozni, így a maguk előtt görgetett problémahalmaz csak egyre komolyabb méreteket ölt. És minél nagyobb a kumulatív elmaradás, annál több lehetősége lesz a kiberbűnözőknek arra, hogy sikeres akciókat hajtsanak végre.