شماره: IRCNE2015052528
تاريخ:03/10 /94
در آخرين بررسي ها بر روي بيش از 30000 وب سايت مشخص شد كه اغلب آن ها داراي حداقل يك آسيب پذيري بحراني مربوط به 150 روز پيش يا حتي بيشتر مي باشند.
جرميا گروسمن، بنيان گذار WhiteHat Security اظهار داشت: آسيب پذيري هاي اصلاح نشده در وب سايت ها مشكلاتي هستند كه مي تواند افراد را در معرض خطر قرار دهد. مجرمان با سوء استفاده از اين آسيب پذيري ها مي توانند بخشي يا تمام سيستم كاربر را در معرض خطر قرار دهند، داده هاي كاربران را به سرقت ببرند يا كنترل كامل سيستم را در اختيار بگيرند. او افزود: اين مشكلات بايد هرچه سريعتر اصلاح شوند.
گروسمن گفت: يك يا دو درصد از اين آسيب پذيري ها قابل اصلاح مي باشند. اغلب آسيب پذيري هايي كه ما كشف كرديم منحصرا مربوط به نرم افزارهاي برنامه هاي وب مي باشد.
براي نگاهي عميق تر به دلايل عدم اصلاح اين آسيب پذيري ها، WhiteHat تحقيقات خود را ادامه داد و از 118 شركت در اين بررسي ها كمك گرفت.
بزرگترين فاكتور در اين زمينه مربوط به روش هاي مقابله با خطرات مي شود و اينكه آيا شركت ها از كاهش خطر يا روش هاي قانوني و منطقي بهره مي گيرند. شركت هايي كه از روش هاي منطقي استفاده مي كنند كمترين ميزان آسيب پذيري را داشتند (12 آسيب پذيري در هر وب سايت)، هم چنين اين شركت ها بالاترين نرخ بازسازي (86 درصد) يعني نسبت بستن يك آسيب پذيري باز در مدت زمان معين را دارا بودند.در مقابل سازمان هايي كه از روش هاي كاهش خطر استفاده مي كنند به طور ميانگين در هر وب سايت 23 آسيب پذيري وجود دارد و نرخ بازسازي آن ها تنها 18 درصد است.
يكي از دلايل ناكام ماندن روش دوم آن است كه در روش مبتني بر كاهش ريسك تنها آسيب پذيري هايي كه در بررسي مخاطرات شناسايي مي شود اصلاح مي شوند.
فاكتور قابل توجه ديگر استفاده از سيستم رديابي خطا در شركت ها براي شناسايي آسيب پذيري مي باشد. شركت هايي كه داراي فرآيندي براي گذاشتن نتايج آسيب پذيري ها در سيستم هاي ردگيري خطا مي باشند حدود 45 درصد آسيب پذيري كمتري نسبت به سايرين دارند.
حل شدن مشكلات مستلزم آن است كه شركت ها كارمنداني را داشته باشند كه بتوانند گزارش آسيب پذيري ها را ثبت كنند و به ديگران منتقل نمايند يا با شركت هاي امنيتي براي گذاشتن نتايج در سيستم هاي ردگيري خطا همكاري كنند.
- 10