در آخرین بررسی ها بر روی بیش از 30000 وب سایت مشخص شد که اغلب آن ها دارای حداقل یک آسیب پذیری بحرانی مربوط به 150 روز پیش یا حتی بیشتر می باشند.
به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از مرکز ماهر،در آخرین بررسی ها بر روی بیش از 30000 وب سایت مشخص شد که اغلب آن ها دارای حداقل یک آسیب پذیری بحرانی مربوط به 150 روز پیش یا حتی بیشتر می باشند.
جرمیا گروسمن، بنیان گذار WhiteHat Security اظهار داشت: آسیب پذیری های اصلاح نشده در وب سایت ها مشکلاتی هستند که می تواند افراد را در معرض خطر قرار دهد. مجرمان با سوء استفاده از این آسیب پذیری ها می توانند بخشی یا تمام سیستم کاربر را در معرض خطر قرار دهند، داده های کاربران را به سرقت ببرند یا کنترل کامل سیستم را در اختیار بگیرند. او افزود: این مشکلات باید هرچه سریعتر اصلاح شوند.
گروسمن گفت: یک یا دو درصد از این آسیب پذیری ها قابل اصلاح می باشند. اغلب آسیب پذیری هایی که ما کشف کردیم منحصرا مربوط به نرم افزارهای برنامه های وب می باشد.
برای نگاهی عمیق تر به دلایل عدم اصلاح این آسیب پذیری ها، WhiteHat تحقیقات خود را ادامه داد و از 118 شرکت در این بررسی ها کمک گرفت.
بزرگترین فاکتور در این زمینه مربوط به روش های مقابله با خطرات می شود و اینکه آیا شرکت ها از کاهش خطر یا روش های قانونی و منطقی بهره می گیرند. شرکت هایی که از روش های منطقی استفاده می کنند کمترین میزان آسیب پذیری را داشتند (12 آسیب پذیری در هر وب سایت)، هم چنین این شرکت ها بالاترین نرخ بازسازی (86 درصد) یعنی نسبت بستن یک آسیب پذیری باز در مدت زمان معین را دارا بودند.در مقابل سازمان هایی که از روش های کاهش خطر استفاده می کنند به طور میانگین در هر وب سایت 23 آسیب پذیری وجود دارد و نرخ بازسازی آن ها تنها 18 درصد است.
یکی از دلایل ناکام ماندن روش دوم آن است که در روش مبتنی بر کاهش ریسک تنها آسیب پذیری هایی که در بررسی مخاطرات شناسایی می شود اصلاح می شوند.
فاکتور قابل توجه دیگر استفاده از سیستم ردیابی خطا در شرکت ها برای شناسایی آسیب پذیری می باشد. شرکت هایی که دارای فرآیندی برای گذاشتن نتایج آسیب پذیری ها در سیستم های ردگیری خطا می باشند حدود 45 درصد آسیب پذیری کمتری نسبت به سایرین دارند.
حل شدن مشکلات مستلزم آن است که شرکت ها کارمندانی را داشته باشند که بتوانند گزارش آسیب پذیری ها را ثبت کنند و به دیگران منتقل نمایند یا با شرکت های امنیتی برای گذاشتن نتایج در سیستم های ردگیری خطا همکاری کنند.