Σε πρόσφατη έρευνα σε πάνω από 30.000 website, ανακαλύφθηκε πως οι περισσότερες απ’ αυτές είχαν τουλάχιστον μια σοβαρή τρύπα στην ασφάλεια για τουλάχιστον 150 μέρες.
“Αυτές οι ευπάθειες ενδέχεται να προκαλέσουν ζημιά” λέει ο Jeremiah Grossman, ιδρυτής της εταιρείας WhiteHat, που διεξήγαγε την έρευνα. “Μπορεί να θέσουν σε κίνδυνο όλα τα συστήματά ή τα δεδεομένα και τους λογαρισμούς.” Είναι το είδος των ευπαθειών που πρέπει να διορθωθούν άμεσα προτού γνωστοποιηθούν.
Τα εμπορικά sites ήρθαν δεύτερα στην λίστα με τις περισσότερες ευπάθειες, με το 55% των website να έχουν τουλάχιστον μια σοβαρή τρύπα σχεδόν κάθε μέρα. Ποιά ήταν τα χειρότερα; Tα website δημόσιας διαχείρισης, με το 64% να είναι ευάλωτα κάθε μέρα του χρόνου. Μόνο το 1 ή 2% των ευπαθειών ήταν διορθώσιμες, συμφωνα με τον Grossman.
Για να εξεταστεί βαθύτερα το γιατί αυτές οι ευπάθειες δεν ήταν δυνατόν να διορθωθούν, η WhiteHat διενέργησε ενδελεχείς έρευνες με 118 εταιρείες πελατών της, από τις νεοσύστατες επιχειρήσεις έως και μεγάλες. Το μεγαλύτερο θέμα ήταν είτε οι προσπάθειες αποκατάστασης της εταιρείας γίνονταν για λόγους συμβατότητας ή μείωση του κινδύνου.
Εκείνοι που εστίασαν στην συμβατότητα, είχαν τον μικρότερο αριθμό ευπαθειών, μόνο 12 ανά website. Είχαν ως επίσης τα μεγαλύτερα ποσοστά αποκατάστασης, το ratio διορθωμένων και μη διορθωμένων ευπαθειών κατά την διάρκεια της περιόδου στην οποία έγινε η έρευνα, στο 86%.
Οι οργανισμοί που αρχικά δρούσαν με βάση την μείωση του κινδύνου είχαν κατά μέσο όρο 23 ευπάθειες ανα website και ποσοστά αποκατάστασης 18%.
Ένας απ’ τους λόγους για τον οποίο οι εταιρείες εστιάζουν στον κίνδυνο, θα μπορούσε να είναι το ότι κατηγοροιοποιούν τις ευπάθειες με βάση την επικινδυνότητά του και διορθώνουν μόνο τις απόλυτα επικίνδυνες.
Εν τω μεταξύ οι εταιρείες που δρουν με γνώμονα την συμβατότητα χρειάζονται περισσότερο χρόνο για να διορθώσουν τις τρύπες, περίπου 158 μέρες σε σχέση με τις 115 για τις εταιρείες που δρουν με γνωμονα τον κίνδυνο. Αυτό συμβαίνει πιθανότατα γιατί δεν μπορούν να αντέξουν να περιμένουν να διορθωθεί η ευπάθεια μέχρι λίγο πριν από τον έλεγχο που ακολουθεί.
Ένας άλλος παράγοντας ήταν το αν οι τρύπες εντοπίζονταν από κάποιο σύστημα εντοπισμού ευπαθειών.
Η επίλυση του προβλήματος απαιτεί από τις εταιρείες να αναθέτουν στο επιτελείο τους την μεταγραφή των εκθέσεων των ευπαθειών, ή την συνεργασία τους με τους πωλητές συστημάτων ασφαλείας ώστε να μπαίνουν τα αποτελέσματα σωστά στο σύστημα εντοπισμού ευπαθειών.
