פגיעויות (Vulnerabilities) הן בעיה מתמשכת, אך מדי שנה, המגמות בתחום זה משתנות במידה מסויימת. ב-2013, דווח על מספר נמוך יחסית של פגיעויות לעומת. . .
בשנה הנוכחית (2014), קיימות מספר מגמות מתהוות אשר סביר כי הביטוי שלהן יגבר. כך, פגיעויות שונות שזוהו בשנה החולפת (2013), אינן מתכוונות להיעלם, ואף להיפך. כמו כן, ב-2014, מיקרוסופט צפויה להפסיק לתמוך במערכת ההפעלה Windows XP, אחת ממערכות ההפעלה המאוימות ביותר בהיבט של ניצול פגיעויות. ניתן להניח כי ההאקרים ימקדו את מאמציהם בפגיעויות הקשורות למערכת ה-XP.
מומחי אבטחה מציינים את 4 המגמות הבאות הצפויה להימשך ב-2014 בכל הנוגע לפגיעויות:
1) השקעה רבה יותר בחוקרי פגיעויות- רוב החוקרים מתוגמלים כעת על הפגיעויות שהם מוצאים. ב-2013 נמצאו על ידי חוקרים כמעט כ-290 פגיעויות, וזאת לעומת 203 בשנה שקדמה לה.
2) ניצול השומרים- חוקרי אבטחה גילו פגיעויות במרבית תוכנות האבטחה המרכזיות, מגמה אשר תימשך גם ב-2014 לפי הערכות שונות. בשעה שמרבית הפגיעויות העתידות להתגלות יהיו במוצרי מיקרוסופט, אדובי, אורקל וכו', מספר דוחות מצביעים גם על תוכנות האבטחה עליהן מסתמכות הארגונים (אנטי וירוס, SIEM וכו') ככאלו המכילות פגיעויות.
3) מכשירים משולבים (Embedded) פירושם פרצות הקיימות לטווח ממושך יותר- מפגיעויות באנדרואיד ועד לבעיות בבקרים תעשיתיים ומערכות רפאויות, פגיעויות במכשירים משולבים הופכים למוקד התעניינות גדול יותר של חוקרים. סוגיות אבטחה אלו מהוות בעיה עבור משתמשים מאחר ורוב המכשירים הללו אינם ניתנים להטלאה בקלות, כאשר לעתים קרובות, ליצרנים לוקח חודשים ואף שנים לעדכן את תוכנת המכשיר שלה.
4) ספריות תחת התקפה- לצד המערכות המשולבות, התקופים ימשיכו להתמקד בספריות ומסגרות עבודה פופולריות בהן משתמשים מפתחים. ספריית גרפיקה, דוגמת LibTIFF, מהווה יעד נפוץ למחקר פגיעויות. חוקרי אבטחה מציינים כי מכיוון שמפתחים אינם נוטים להוציא עדכון שמטרתו לתקן ספריות פגיעות, תוכנה המבוססת על גרסאות ספריה פגיעות ממשיכה להתקיים.
היעדרם של עדכוני אבטחה של היצרנים השונים, אפילו על עמדת קצה אחת, מהווה נתיב חדירה קל ומועדף להאקרים, העלולים לנצל אותו לשלל מטרות. איתור פערים בהתקנת עדכונים לכלל הרכיבים של מערכות המידע הארגוניות, מצריך מבדקי שרתים ועמדות קצה המבוצע במקצועיות וביסודיות. כנדבך משלים, יש לכתוב נהלי אבטחה מקצועיים המתייחסים לסוגיית התקנת טלאי ועדכוני אבטחה. נשמח לשתף אותך בניסיוננו בתחום.
לידיעה המלאה- כאן