طبق اطلاعات به دست آمده توسط پایگاه‌داده آسیب‌پذیری ملی، سال ۲۰۱۴ بطور متوسط روزانه ۱۹ آسیب‌پذیری گزارش شده است. در این مقاله، به بررسی لیست جامعی از آسیب‌پذیری‌های امنیتی نرم‌افزارها که توسط این پایگاه داده ارائه شده، می‌پردازیم.
سالانه میلیون‌ها نرم‌افزار، سیستم‌عامل و وب‌سایت‌ به علت وجود آسیب‌پذیری خطرناک، مورد حمله هکرها قرار می‌گیرند. اطلاع از این آسیب‌پذیری‌ها و حفاظت سیستم در مقابل آن‌ها، می‌تواند از حملات آتی جلوگیری کند.

NVD یا National Vulnerability Database، بانک اطلاعاتی آسیب‌پذیری مربوط به دولت آمریکا است که اطلاعات مهمی را شامل می‌شود؛ مدیریت داده‌های این بانک اطلاعاتی توسط پروتکل SCAP انجام می‌گیرد. این سازمان از CVEها برای تعیین میزان خطرناک بودن آسیب‌پذیری‌ها استفاده می‌کند؛ CVE شناسه‌ی آسیب‌پذیری و روشی عمومی است که توسط نرم‌افزار‌های تجاری و متن‌باز پذیرفته می‌شود. بیشترین آمار و اطلاعات ارائه شده توسط این بانک اطلاعاتی، شامل موارد زیر است:

  • آخرین روند آسیب‌پذیری و افزایش یا کاهش در تعداد آن‌ها
  • درصد خطرناک بودن آسیب‌پذیری‌ها
  • مشخص کردن بیشترین پلتفرم آسیب‌پذیر
  • آمار سخت‌افزارهای آلوده و آسیب‌پذیر

در شکل‌ها و نمودارهای زیر بیشترین تعداد آسیب‌پذیری‌ها و آمار را مشاهده می‌کنید، محصولاتی که در اولویت اول درج شده‌اند، بیشترین بروزرسانی‌های امنیتی را دریافت می‌کنند؛ به همین دلیل، مدیران سیستم باید بطور مکرر سیستم‌عامل‌ها، برنامه‌های کاربردی و تجهیزات خود را بروز کرده و وصله‌های امنیتی برای آسیب‌پذیری‌ها را نصب کنند. سال ۲۰۱۴، تعداد ۷.۰۳۸ آسیب‌پذیری به این بانک اطلاعاتی گزارش شده است، یعنی بطور میانگین روزانه ۱۹ آسیب‌پذیری. این رقم، نسبت به سال ۲۰۱۳ افزایش قابل توجهی داشته و در واقع می‌توان گفت امنیت روز به روز کمتر می‌شود.
تعداد آسیب‌پذیری‌های گزارش شده و رشد آن‌ها در سال‌های اخیر


۲۴ درصد از این آسیب‌پذیری‌ها ریسک بالایی داشته است؛ این درصد نسبت به سال ۲۰۱۳ کمتر است اما تعداد واقعی آسیب‌پذیری‌های امنیتی در مقایسه با سال گذشته افزایش یافته است.

برنامه‌های شخص ثالث با ۸۰ درصد، مهم‌ترین منبع آسیب‌پذیری‌ها به شمار می‌آید. ۱۳ درصد مربوط به سیستم‌عامل‌ها و ۴ درصد برای دستگاه‌های سخت‌افزار است.


آمار بیشترین آسیب‌پذیری گزارش شده مربوط به سیستم‌عامل‌ها


نکته‌ی قابل توجه در این نمودار، سیستم‌عامل‌های مایکروسافت است که هنوز هم تعداد قابل توجهی از آسیب‌پذیری‌ها را دارد، اما سیستم‌عامل‌های شرکت اپل در رتبه‌ی اول و سپس لینوکس قرار دارد. ۲۰۱۴ سال سختی برای کاربران لینوکس بود، زیرا آسیب‌پذیری‌های جدی و خطرناکی مانند Heartbleed و Shellshock در بطن این سیستم‌عامل به وجود آمد. Heartbleed حفره امنیتی بحرانی موجود در SSL بود و Shellshock بش را تحت تاثیر قرار می‌داد.
آمار بیشترین آسیب‌پذیری گزارش شده مربوط به برنامه‌ها


برنامه‌های کاربردی ذکر شده تقریبا همانند آمار سال ۲۰۱۳ است. جای تعجب نیست که همیشه مرورگرها آمار بیشترین آسیب‌پذیری‌ها را در بین برنامه‌های کاربردی دارند، زیرا آن‌ها به عنوان دروازه‌ای برای دسترسی به سرور عمل می‌کنند و بدافزارها در این حالت، راحت‌تر گسترش می‌یابند. محصولات شرکت ادوبی و جاوا عمده‌ترین نرم‌افزارهای آسیب‌پذیر هستند اما مرورگرها طی شش سال اخیر همیشه در صدر جدول بوده‌اند. مرورگرهای موزیلا فایرفاکس بیشترین آسیب‌پذیری را در سال‌های ۲۰۰۹ و ۲۰۱۲ ثبت کرده‌، گوگل کروم در سال‌های ۲۰۱۰ و ۲۰۱۲ و اینترنت اکسپلورر در طول دو سال اخیر آمار بالاترین آسیب‌پذیری را دارند.
برای امن نگه داشتن سیستم، موارد زیر باید بروز شده و وصله‌های امنیتی آن‌ها نصب شده باشد:

  • سیستم‌عامل‌ها (ویندوز، مک و لینوکس)
  • مرورگرها
  • جاوا
  • محصولات رایگان شرکت ادوبی (Flash player, Reader, Shockwave player, Air)

برای هر کاربری، مدیریت وصله‌های امنیتی و آسیب‌پذیری‌ها باید در اولویت اول قرار بگیرد. دقت داشته باشید که فقط بروزرسانی‌های مایکروسافت کافی نیست، زیرا برنامه‌های کاربردی نصب شده، بسیار مشکل ساز هستند.