Az USA Nemzeti Szabványügyi és Techológiai Intézete (National Institute of Standards and Technology - NIST) minden évben számot vet azzal, hogy aktuálisan hány újfajta, informatikai rendszereket érintő sérülékenységre bukkantak a világban. Az idei jelentés abból a szempontból nem hozott változást, hogy ismét rekordot döntött a friss biztonsági rések száma. Legutóbb ugyanis 2016-ban sikerült csökkenést regisztrálni az újonnan felfedezett sérülékenységek mennyiségben.
A NIST adatai 2021-ben 18 378 darab problémával gazdagodott az információbiztonság felett őrködő szakemberek munkája. Ez ha csak néhány darabbal is, de több, mint a tavaly ilyenkor kimutatott mennyiség. A sérülékenységek veszélyességi besorolása szerinti bontás viszont mutat egy kis pozitív elváltozást.
Az újonnan felfedezett sérülékenységek alakulása súlyossági szintek szerint (zöld: magas, narancs: közepes, kék: alacsony). Forrás: NIST
A legsúlyosabb kategóriában ugyanis idén "csak" 3 644 esetet regisztráltak, miközben 2020-ban 4 381-en állt ugyanez a mutató. Az összesített rekord eléréséhez ennek megfelelően az kellett, hogy a közepes és az alacsony besorolású biztonsági réseknél szaporodjanak fel az elemszámok.
Ahogy vesszük
A számokat kommentáló biztonsági szakértők közül voltak olyanok, akiket kifejezetten meglepett a súlyos esetek csökkenése, de mások szerint ez egybevág az év közben gyűjtött tapasztalatokkal. A Bugcrowd műszaki igazgatója a ZDNetnek nyilatkozva azt fejtegette, hogy a technológiai fejlődés felgyorsulásával óhatatlanul együtt jár a rendszerekben meglévő potenciális hibák növekedése. A szakember a kisebb jelentőségű sérülékenységek növekedését pedig azzal magyarázta, hogy a kevésbé fajsúlyos eseteket könnyebb felfedezni, és általában gyakrabban is jelentik be ezeket. (Arre persze mindez nem ad választ, hogy egyik évről a másikra miért mozdultak el a súlypontok.)
A K2 Cyber Security vezérigazgatója viszont a fejlesztői munka minőségének javulásában látja a magas kockázati besorolású ügyek visszaszorulásának okát. Meglátása szerint az elmúlt években sok szervezetnél jelentősen átértékelték a fejlesztői munka során alkalmazott prioritási listát, ami a biztonsági szempontok erősödését hozta. A koronavírus megjelenése ugyanakkor ellentétes hatást váltott ki azzal, hogy a cégeknek gyorsan kellett megoldásokat találni a rendkívüli helyzetre, ami óhatatlanul növelte a hibalehetőségek esélyét. (Ezzel kapcsolatban érdemes megjegyezni, hogy a pandémia előtt, 2017 és 2019 között is fokozatosan emelkedett az újonnan felfedezett sebezhetőségek száma.)
Más szakértők pedig arra hívták fel a figyelmet, hogy a folyamatosan növekvő új esetszám azért különösen veszélyes, mert a biztonsági szakembereknek még a korábbi években felfedezett réseket sem sikerül maradéktalanul befoltozni, így a maguk előtt görgetett problémahalmaz csak egyre komolyabb méreteket ölt. És minél nagyobb a kumulatív elmaradás, annál több lehetősége lesz a kiberbűnözőknek arra, hogy sikeres akciókat hajtsanak végre.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak