По данным аналитиков компании Hewlet-Packard (HP), в 2012 г. количество критических уязвимостей в программных продуктах ИС снизилось на 3%, с 23% в 2011 г. до 20%. Однако общее число уязвимостей (как критических, так и не критических) за год выросло на 19%.
По оценкам аналитиков, суммарное число уязвимостей для ИС (Информационной Системы) в 2012 г. составило 8137, тогда как в 2011 г. их было зафиксировано 6844. Аналитики предупреждают, что каждая пятая уязвимость несет в себе угрозу хакерской атаки, в результате которой злоумышленник может получить полный контроль над сетью предприятия. И хотя эти цифры говорят о немалой опасности, суммарный уровень уязвимостей в 2012 г. на 19% ниже, чем пик их объема, зафиксированный в 2006 г.
Уязвимости могут повлиять на работу всех элементов инфраструктуры предприятия, от оборудования и сети до программного обеспечения. По сути, уязвимость – это ворота, через которые злоумышленник обманным путем, минуя защиту, способен украсть или подменить данные, создать угрозу отказа в доступе и подвергнуть риску исполнение бизнес-процессов.
Аналитики НР считают, что мобильные устройства и приложения представляют собой наиболее уязвимые для хакеров элементы. За последние пять лет количество «дыр» (уязвимостей защиты) в мобильных приложениях выросло на 787%! А только за год их число выросло на 68%, со 158 в 2011 г. до 266 в 2012 г. При этом 48% из протестированных НР в 2012 г. мобильных приложений обеспечивали возможность неавторизованного доступа. А поскольку тенденция работы на собственных мобильных устройствах в ИС предприятий усиливается год от года, все эти уязвимости становятся «дырами» в системах защиты ИС.
Особую опасность представляют собой web-приложения, в частности, они могут стать источником таких угроз, как внесение вредоносных SQL-кодов, межсайтовый скриптинг (метод взлома), межсайтовые запросы с подменой или удалением файлов и, как следствие, возможность организации соответствующих атак. По данным HP, наиболее распространенной угрозой в 2012 г. остается межсайтовый скриптинг, на его долю приходится 44% от общего числа уязвимостей, вносимых web-приложениями. Согласно оценкам, из 100 тыс. протестированных URL-адресов, только менее 1% использовали стандартные методы предотвращения скриптинговых атак, хотя ликвидировать эту уязвимость проще простого.
Но уязвимости «живут» не только в компьютерах обычных офисных служащих, но и в управляющих системах промышленных предприятий. Так, за период с 2008 по 2012 гг. количество уязвимостей в таких системах управления выросло на 768%, с 22 до рекордной на сегодня величины для промышленных систем управления -- 191. В итоге объектом атак могут стать энергетические станции, газо- и электрораспределительные сети и другие критические автоматизированные системы.