Rsac : 야, 사람들, 프로그램을 패치 해!

Secunia의 무료 개인 소프트웨어 검사기 (Personal Software Inspector) 도구는 PC의 모든 소프트웨어를 검사하고 업데이트가 필요한 모든 프로그램을 식별하며 해당 업데이트를 적용하는 데 도움을줍니다. 이 회사는 또한 취약점에 대한 통계를 수집하고 연간 보고서를 게시합니다. RSA 회의에서 Secunia의 CEO 인 Peter Colsted와 CTO Morten Stengaard는 저와 함께 최신 보고서를 검토했습니다.

"전반적으로, 대부분의 취약점은 여전히 ​​타사 프로그램에 있습니다"라고 Stengaard는 말했습니다. "2013 년에는 13, 000 개가 넘는 새로운 숫자가 전년도 평균 9, 000 개에 비해 증가하고 있습니다.이 증가는 주로 IBM이 주도한 것입니다. 여전히 2, 000 개가 넘는 취약한 제품으로 인해 여전히 큰 문제입니다."

Stengaard는 가장 일반적으로 발생하는 상위 50 가지 취약점 중에서 영향을받는 Microsoft 프로그램의 수가 많더라도 가장 많이 발생하는 취약점은 Microsoft 이외의 프로그램이라고 언급했습니다. 스텐 가드는 "마이크로 소프트 제품은 상당히 잘 커버되고 있으며 사람들은 업데이트하는 경향이있다"고 말했다. (최근 연구에 따르면 Windows를 패치 상태로 유지하는 것이 모든 보안 전략의 중요한 요소 임)

이 보고서는 브랜드 외부에서보다 가장 많이 사용되는 브라우저 및 PDF 리더에서 훨씬 더 많은 취약점을 명확하게 보여줍니다. Colsted는 "패치하는 한 원하는 제품을 사용할 수있다"고 말했다. "패치 하지 않을 것임을 알면 덜 일반적인 프로그램을 사용하는 것이 좋습니다."

태도의 변화

Stengaard는“기업에서 새로운 전략을 찾고 있습니다. 패치를 배포하기 전에 철저한 테스트를 통해 패치를 설치 한 후에는 패치가 문제를 일으키는 경우 롤백 할 수있는 옵션과 함께 패치가 나타나는대로 롤아웃하고 있습니다.”

오래된 테스트 우선 전략은 패치가 해를 끼칠 수 있다는 아이디어를 기반으로합니다. 나는 마지막 "나쁜 패치"이후 얼마나 걸 렸는지 물었다. Stengaard는 "실제로 Microsoft 패치가 문제를 일으킨 지 몇 년이 지났습니다. 많은 타사 앱과 동일합니다. 고객이 더 안전하다고 느끼고 있습니다."

모바일 추적

Secunia는 작년에 Android 버전의 PSI를 출시했지만 데이터가 아직 Android 관련 보고서를 작성하기에 충분하지 않습니다. Stengaard는 "악성 프로그램은 안드로이드에서 매우 쉽다"고 말했다. "취약점을 추구 할 동기는 없다. 브라우저 나 PDF 리더와 같이 항상 설치되는 아이템은 보통 용의자를 대상으로한다. 우리는 지난해 증가 할 것으로 예상했지만, 아직 오지 않았습니다."

회사는 iOS 버전도 고려하고 있습니다. "많은 고객들이 iOS 지원을 요청하고 있습니다"라고 Stengaard는 말했습니다. "저기 회사에 있기 때문에 추적하고 싶습니다."

사람들은 패치하지 않습니다

Colsted는 "올해 우리의 결과를 요약하기 위해 보안 취약점의 존재는 증가하는 문제입니다. 사라지지 않을 것입니다. 또한 사람들은 패치를하지 않고 계속되는 문제입니다. Adobe Reader, Java, Flash, 브라우저, 계속해서 문제가 있습니다."

"사람들은 정말로 그들의 패치 작업을해야한다"고 그는 말했다. "자동으로 설정하거나 수동으로 설정하십시오. 안티 바이러스가 새로 등장한시기와 유사합니다. 사람들이이를 인식하는 데 시간이 걸렸습니다. 이제 실제 문제는 보안 취약점입니다. 패치하는 것은 안티 바이러스 보호 기능을 유지하는 것과 정확히 평행합니다."

Colsted는 "실제로 패치를하지 않는다면 대중적인 큰 이름보다는 잘 알려진 프로그램을 선택해야한다"고 결론을 내 렸습니다. Opera와 Foxit Reader 직원들은 분명히 기뻐할 것입니다. Secunia 웹 사이트에서 전체 보고서를 볼 수 있습니다.