Az USA Nemzeti Szabványügyi és Techológiai Intézete (National Institute of Standards and Technology - NIST) minden évben számot vet azzal, hogy aktuálisan hány újfajta, informatikai rendszereket érintő sérülékenységre bukkantak a világban. Az idei jelentés abból a szempontból nem hozott változást, hogy ismét rekordot döntött a friss biztonsági rések száma. Legutóbb ugyanis 2016-ban sikerült csökkenést regisztrálni az újonnan felfedezett sérülékenységek mennyiségben.
A NIST adatai 2021-ben 18 378 darab problémával gazdagodott az információbiztonság felett őrködő szakemberek munkája. Ez ha csak néhány darabbal is, de több, mint a tavaly ilyenkor kimutatott mennyiség. A sérülékenységek veszélyességi besorolása szerinti bontás viszont mutat egy kis pozitív elváltozást.
Az újonnan felfedezett sérülékenységek alakulása súlyossági szintek szerint (zöld: magas, narancs: közepes, kék: alacsony). Forrás: NIST
A legsúlyosabb kategóriában ugyanis idén "csak" 3 644 esetet regisztráltak, miközben 2020-ban 4 381-en állt ugyanez a mutató. Az összesített rekord eléréséhez ennek megfelelően az kellett, hogy a közepes és az alacsony besorolású biztonsági réseknél szaporodjanak fel az elemszámok.
Ahogy vesszük
A számokat kommentáló biztonsági szakértők közül voltak olyanok, akiket kifejezetten meglepett a súlyos esetek csökkenése, de mások szerint ez egybevág az év közben gyűjtött tapasztalatokkal. A Bugcrowd műszaki igazgatója a ZDNetnek nyilatkozva azt fejtegette, hogy a technológiai fejlődés felgyorsulásával óhatatlanul együtt jár a rendszerekben meglévő potenciális hibák növekedése. A szakember a kisebb jelentőségű sérülékenységek növekedését pedig azzal magyarázta, hogy a kevésbé fajsúlyos eseteket könnyebb felfedezni, és általában gyakrabban is jelentik be ezeket. (Arre persze mindez nem ad választ, hogy egyik évről a másikra miért mozdultak el a súlypontok.)
A K2 Cyber Security vezérigazgatója viszont a fejlesztői munka minőségének javulásában látja a magas kockázati besorolású ügyek visszaszorulásának okát. Meglátása szerint az elmúlt években sok szervezetnél jelentősen átértékelték a fejlesztői munka során alkalmazott prioritási listát, ami a biztonsági szempontok erősödését hozta. A koronavírus megjelenése ugyanakkor ellentétes hatást váltott ki azzal, hogy a cégeknek gyorsan kellett megoldásokat találni a rendkívüli helyzetre, ami óhatatlanul növelte a hibalehetőségek esélyét. (Ezzel kapcsolatban érdemes megjegyezni, hogy a pandémia előtt, 2017 és 2019 között is fokozatosan emelkedett az újonnan felfedezett sebezhetőségek száma.)
Más szakértők pedig arra hívták fel a figyelmet, hogy a folyamatosan növekvő új esetszám azért különösen veszélyes, mert a biztonsági szakembereknek még a korábbi években felfedezett réseket sem sikerül maradéktalanul befoltozni, így a maguk előtt görgetett problémahalmaz csak egyre komolyabb méreteket ölt. És minél nagyobb a kumulatív elmaradás, annál több lehetősége lesz a kiberbűnözőknek arra, hogy sikeres akciókat hajtsanak végre.
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
HPE Morpheus VM Essentials: a virtualizáció arany középútja
Minden, amire valóban szükség van, ügyfélbarát licenceléssel és HPE támogatással - a virtualizációs feladatok teljes életciklusát végigkíséri az EURO ONE Számítástástechnikai Zrt.
a melléklet támogatója az EURO ONE
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?