Изучение безопасности HP говорит о том, что 44 процента нарушений могли быть приписаны исправленным уязвимостям, которые были между 2 и 4 годами.Организации подобающим образом не исправляют собственные совокупности, согласно итогам Кибер отчета о Риске Hewlett-Packard 2015 года, опубликованного 23 февраля. Завлекая эти, собранные через работы безопасности HP в 2014, изучение отыскало, что 44 процента нарушений могли быть приписаны исправленным уязвимостям, которые были между 2 и 4 годами.
«Мы сочли его мало необычным, что эти узнаваемые уязвимости были – и являются все-еще-a угрозой», сообщила Джуэл Тимп, менеджер изучения угроз для безопасности HP Изучение, eWEEK.Исправление тяжело по многим причинам, растолковал Тимп. В пространстве предприятия количество патчей для применения через совокупности, при обеспечении патча не повреждает ничего пользовательского либо внутреннего к бизнесу, есть пугающим и тяжелым ресурсом, отметила она.
«Это – твёрдое уравновешивание, но как мы видим из отчета этого года, предприятия должны отыскать путь, что делает исправление приоритета», сообщил Тимп.Уязвимости заканчиваются на пути к эксплуатации, в силу того, что, в большинстве случаев, когда HP видит массовую эксплуатацию, это должно собственный включение в набор, сообщила она.Наборы применения являются упакованными пакетами известного применения, которое атакующие могут действенно применять против жертв.Связанное с Java применение есть примером класса исправленных уязвимостей, которые обнаруживаются в изучении HP.
Java воображал 48 процентов всей сети либо почтовых выборок применения в 2014, отысканного изучения HP.Применение Java было всеми более ветхими уязвимостями, Тимп сообщил, добавив, что Брайан Горенк, менеджер изучения уязвимости для безопасности HP сказал о том же главном открытии на конференции BlackHat 2014 года в Лас-Вегасе. В то время, Горенк сказал, что большая часть вредоносных нападений Java действенно применяло ветхие уязвимости благодаря отсутствия Java, обновляющего, что происходит.Наоборот, отчет HP также отмечает, что Oracle сделал большие усиления в 2014 в обеспечении Java.
Отчет подчернул, что в 2014 Oracle представил щелчок к игре как меры безопасности, делая исполнение Java без символа более тяжёлым. Меры безопасности щелчка к игре Oracle оказали такое хорошее влияние на безопасность Java, что HP указал, что это не встретилось ни с какими важными недостатками нулевого дня Java во вредоносном пространстве в 2014.«Атакующие планируют взять путь мельчайшего сопротивления, чтобы скомпрометировать их жертв», сообщил семь дней. «Простое воздействие наличия пользовательского щелчка к игре, Java без символа представил хватает видимости для перенаправления фокуса атакующих на цели, которые будут допускать более тайный доступ».
Начиная с введения функции щелчка к игре в Java соперники сфокусировались больше на уязвимостях в MSIE и Adobe Flash, когда они предназначались для потенциальных жертв, сообщил Тимп.История повторяет себя в то время как дело доходит до неприятностей безопасности, сообщил Тимп. «Как отрасль, мы не извлекли уроки из прошлого и разрешаем ветхим проблемам взять добрейшего из нас», сообщила она. «Эти неприятности не являются новыми, и мы знаем, как решить их, итак, по какой причине мы не имеем?»Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.