طبق اطلاعات به دست آمده توسط پایگاهداده آسیبپذیری ملی، سال ۲۰۱۴ بطور متوسط روزانه ۱۹ آسیبپذیری گزارش شده است. در این مقاله، به بررسی لیست جامعی از آسیبپذیریهای امنیتی نرمافزارها که توسط این پایگاه داده ارائه شده، میپردازیم.
سالانه میلیونها نرمافزار، سیستمعامل و وبسایت به علت وجود آسیبپذیری خطرناک، مورد حمله هکرها قرار میگیرند. اطلاع از این آسیبپذیریها و حفاظت سیستم در مقابل آنها، میتواند از حملات آتی جلوگیری کند.
NVD یا National Vulnerability Database، بانک اطلاعاتی آسیبپذیری مربوط به دولت آمریکا است که اطلاعات مهمی را شامل میشود؛ مدیریت دادههای این بانک اطلاعاتی توسط پروتکل SCAP انجام میگیرد. این سازمان از CVEها برای تعیین میزان خطرناک بودن آسیبپذیریها استفاده میکند؛ CVE شناسهی آسیبپذیری و روشی عمومی است که توسط نرمافزارهای تجاری و متنباز پذیرفته میشود. بیشترین آمار و اطلاعات ارائه شده توسط این بانک اطلاعاتی، شامل موارد زیر است:
- آخرین روند آسیبپذیری و افزایش یا کاهش در تعداد آنها
- درصد خطرناک بودن آسیبپذیریها
- مشخص کردن بیشترین پلتفرم آسیبپذیر
- آمار سختافزارهای آلوده و آسیبپذیر
در شکلها و نمودارهای زیر بیشترین تعداد آسیبپذیریها و آمار را مشاهده میکنید، محصولاتی که در اولویت اول درج شدهاند، بیشترین بروزرسانیهای امنیتی را دریافت میکنند؛ به همین دلیل، مدیران سیستم باید بطور مکرر سیستمعاملها، برنامههای کاربردی و تجهیزات خود را بروز کرده و وصلههای امنیتی برای آسیبپذیریها را نصب کنند. سال ۲۰۱۴، تعداد ۷.۰۳۸ آسیبپذیری به این بانک اطلاعاتی گزارش شده است، یعنی بطور میانگین روزانه ۱۹ آسیبپذیری. این رقم، نسبت به سال ۲۰۱۳ افزایش قابل توجهی داشته و در واقع میتوان گفت امنیت روز به روز کمتر میشود.
تعداد آسیبپذیریهای گزارش شده و رشد آنها در سالهای اخیر
۲۴ درصد از این آسیبپذیریها ریسک بالایی داشته است؛ این درصد نسبت به سال ۲۰۱۳ کمتر است اما تعداد واقعی آسیبپذیریهای امنیتی در مقایسه با سال گذشته افزایش یافته است.
برنامههای شخص ثالث با ۸۰ درصد، مهمترین منبع آسیبپذیریها به شمار میآید. ۱۳ درصد مربوط به سیستمعاملها و ۴ درصد برای دستگاههای سختافزار است.
آمار بیشترین آسیبپذیری گزارش شده مربوط به سیستمعاملها
نکتهی قابل توجه در این نمودار، سیستمعاملهای مایکروسافت است که هنوز هم تعداد قابل توجهی از آسیبپذیریها را دارد، اما سیستمعاملهای شرکت اپل در رتبهی اول و سپس لینوکس قرار دارد. ۲۰۱۴ سال سختی برای کاربران لینوکس بود، زیرا آسیبپذیریهای جدی و خطرناکی مانند Heartbleed و Shellshock در بطن این سیستمعامل به وجود آمد. Heartbleed حفره امنیتی بحرانی موجود در SSL بود و Shellshock بش را تحت تاثیر قرار میداد.
آمار بیشترین آسیبپذیری گزارش شده مربوط به برنامهها
برنامههای کاربردی ذکر شده تقریبا همانند آمار سال ۲۰۱۳ است. جای تعجب نیست که همیشه مرورگرها آمار بیشترین آسیبپذیریها را در بین برنامههای کاربردی دارند، زیرا آنها به عنوان دروازهای برای دسترسی به سرور عمل میکنند و بدافزارها در این حالت، راحتتر گسترش مییابند. محصولات شرکت ادوبی و جاوا عمدهترین نرمافزارهای آسیبپذیر هستند اما مرورگرها طی شش سال اخیر همیشه در صدر جدول بودهاند. مرورگرهای موزیلا فایرفاکس بیشترین آسیبپذیری را در سالهای ۲۰۰۹ و ۲۰۱۲ ثبت کرده، گوگل کروم در سالهای ۲۰۱۰ و ۲۰۱۲ و اینترنت اکسپلورر در طول دو سال اخیر آمار بالاترین آسیبپذیری را دارند.
برای امن نگه داشتن سیستم، موارد زیر باید بروز شده و وصلههای امنیتی آنها نصب شده باشد:
- سیستمعاملها (ویندوز، مک و لینوکس)
- مرورگرها
- جاوا
- محصولات رایگان شرکت ادوبی (Flash player, Reader, Shockwave player, Air)
برای هر کاربری، مدیریت وصلههای امنیتی و آسیبپذیریها باید در اولویت اول قرار بگیرد. دقت داشته باشید که فقط بروزرسانیهای مایکروسافت کافی نیست، زیرا برنامههای کاربردی نصب شده، بسیار مشکل ساز هستند.