«Жестокая реальность» ИБ-рынка: защитное ПО лидирует по количеству дыр
В список 20 самых уязвимых программ по версии Flexera Software попали 11 продуктов для информационной защиты. Многие уязвимости были обнаружены в компонентах, имеющих открытый код, или созданных сторонними разработчиками. Абсолютным лидером по количеству «дыр», как в защитном, так и в обычном ПО, стала компания IBM.
Защитный софт в списке самого уязвимого ПО
Программные продукты для обеспечения кибербезопасности относятся к наиболее уязвимому софту, причём лидером по количеству «дыр» является продукция компании IBM. К такому выводу пришла ИБ-компания Flexera Software, опубликовавшая отчет по уязвимостям ПО за август-октябрь 2016 г.
Список самого уязвимого софта от Flexera насчитывает 20 позиций. По итогам каждого из трех месяцев в этот список попало в общей сложности 46 программ и приложений. При этом 11 из них являются продуктами, предназначенными для информационной защиты. Многие баги были обнаружены в компонентах, имеющих открытый код, или созданных сторонними разработчиками.
Самые «дырявые» защитные продукты
Лидером по количеству «дыр» в защитном софте стала компания IBM. В список наиболее уязвимого ПО попали сразу 5 её продуктов: IBM Security Network Protection, в котором было найдено 49 уязвимостей за три месяца, а также IBM Security Identity Manager (32 уязвимости), IBM Security Access Manager (38), IBM Security Access Manager for Mobile (21) и IBM DB2 (12).
Однако лидером по количеству «дыр» в одном продукте стала компания Splunk – в одноимённой программе за три месяца была обнаружена 91 уязвимость. Ненамного отстала от неё компания AlienVault: в защитных решениях AlienVault Unified Security Management (USM) и OSSIM (AlienVault Open Source SIM) было найдено по 81 уязвимости в каждом.
Также в список вошли продукты PAN-OS (44 уязвимости), McAfee Web Gateway (25) и Juniper Network and Security Manager (24).
Другой уязвимый софт
Всего в исследовании Flexera Software принимало участие около 50 тыс. программных продуктов различного назначения. В 46 самых уязвимых продуктах за три месяца было обнаружено в общей сложности 2162 бага.
Производителем с наибольшим количеством «дыр» не только в защитном, но и в другом ПО стала компания IBM. В список попали следующие её продукты: IBM SmartCloud Entry (129 уязвимостей), IBM PowerKVM (98), IBM Flex System Manager Node (FSM) (76), IBM Connections (38), IBM Cloud Manager with OpenStack (31), IBM InfoSphere Information Server (23), IBM WebSphere Portal (17), IBM System Storage SAN Volume Controller (8) и IBM Storwize (8)
Лидерами списка самого «дырявого» ПО, помимо защитного софта, также являются веб-браузеры и программы для чтения PDF-файлов. Самой уязвимой программой из участвовавших в исследовании был признан Avant Browser, в котором за три месяца было обнаружено 164 бага. Кроме него, в топ-20 попали ещё шесть веб-браузеров, в том числе Mozilla Firefox (47 уязвимостей), Google Chrome (45), Cyberfox (25) и Apple Safari (23). Также в рейтинге присутствуют два PDF-ридера: Adobe Reader (74 уязвимости) и Foxit Phantom PDF (41).
Кроме того, в списке оказались такие известные продукты, как Apple Macintosh OS X (74 уязвимости), Apple iOS (30), Microsoft Windows 10 (78), Microsoft Windows 8 (76), Microsoft Windows Server 2012 (75), Microsoft Exchange Server (20), Oracle VirtualBox (24), Oracle E-Business Suite (24), MySQL (36), Juniper Junos OS (31) и MariaDB (11).
Насколько опасны дыры в защитном софте?
По словам технического директора компании «Монитор безопасности» Георгия Лагоды, уязвимости в ИБ-продуктах могут быть успешно использованы хакерами в ходе атаки на отдельные системы или целые сети. В частности, преступники часто пытаются обойти ограничения, выставленные защитными продуктами, чтобы избежать блокировки своего IP-адреса.
Распространенный случай – обход сетевых экранов веб-приложений. Например, популярный бесплатный продукт Apache Mod Security имел ряд уязвимостей, позволяющих хакеру обойти правила сетевого экрана и успешно провести атаку, отмечает Лагода. Результаты исследования Flexera Software эксперт назвал «жестокой реальностью» рынка ИБ-продуктов.
Стратегия защиты
Вероятность нахождения уязвимостей в защитном софте должна быть ниже, чем в другом ПО, однако чрезмерно полагаться на него не стоит, считает Лагода. В первую очередь необходимо делать акцент на безопасность проприетарного кода защищаемой системы, и только потом включать в схему защиты ИБ-продукты.
Кроме того, по словам эксперта, любой софт следует тестировать на безопасность перед интеграцией, и ИБ-продукты также следует включить в такие проверки. Чтобы снизить число уязвимостей в защитных компонентах с открытым кодом, нужно ввести тщательный контроль всех версий и их обновлений. Это позволит закрывать существующие «дыры» в продуктах, которые устранили разработчики.