Luki bezpieczeństwa - prawie jak wino
Firma Immunity poinformowała, iż średni czas życia luki typu zero-day wynosi 348 dni.
Luki zero-day są błędami w oprogramowaniu, które nie zostały szerzej ujawnione przez swoich odkrywców i w związku z tym nie zostały stworzone łatające je poprawki. Sytuacja taka jest bardzo niebezpieczna, gdyż naraża systemy na ataki, które nie zostaną wykryte. Atakujący mogą więc przez dłuższy czas bezkarnie manipulować danymi po włamaniu.
Za informacje o lukach typu zero-day płacone są na czarnym rynku ogromne sumy.
Niedawno podjęto próbę ukrócenia tego procederu, otwierając pierwszą legalną aukcję luk.
Immunity również kupuje informacje dotyczące luk, aby chronić swoich własnych klientów. Firma nie chciała jednak ujawnić jakichkolwiek szczegółów związanych z tym procederem.
Jak wynika ze statystyk, najkrócej "żyjąca" luka typu zero-day przetrwała w konspiracji 99 dni, podczas gdy "najstarsza" funkcjonowała bez załatania przez 1080 dni, czyli niemalże trzy lata.
Niestety, większość firm nie sprawdza swoich własnych infrastruktur w poszukiwaniu luk. Działania takie są dość często blokowane przez podpisane umowy licencyjne z producentem zakupionego oprogramowania. Firmy nie powinny się łudzić, iż oprogramowanie z którego korzystają nie ma słabych punktów. Każdy system ma luki - zapewnia Immunity.
