MITRE обновила список 25 самых опасных уязвимостей в программном обеспечении

Корпорация MITRE обновила свой список CWE (Common Weakness Enumeration) Top-25 самых опасных уязвимостей в программном обеспечении. Этот список отражает актуальные тенденции в сфере киберугроз и служит важным руководством для обеспечения защиты.

Уязвимости, указанные в этом списке, активно используются киберпреступниками для захвата управления системами, кражи конфиденциальной информации и создания сбоев. Поэтому этот список служит важным ориентиром для разработчиков программного обеспечения и специалистов по кибербезопасности.

Основные изменения в списке 2024 года

1. Cross-Site Scripting (XSS) возглавил список, поднявшись с второго места в прошлом году.
2. Out-of-Bounds Write опустился с первого на второе место.
3. SQL Injection (SQL-инъекция) сохранил третью позицию.

Другие изменения:

• Cross-Site Request Forgery (CSRF) поднялся на 5 позиций.
• Path Traversal и Out-of-Bounds Read поднялись на 3 и 1 позиции соответственно.
• OS Command Injection и Use-After-Free опустились в рейтинге.
• Unrestricted File Upload (неограниченная загрузка файлов) остался на 10 месте.
• Missing Authorization (отсутствие авторизации) появился в списке как новая уязвимость с высоким риском.

Новые уязвимости в списке 2024 года

1. Sensitive Information Exposure (разглашение конфиденциальной информации): поднялся на 14 место (в 2023 году занимал 30 место).
2. Uncontrolled Resource Consumption (неконтролируемое потребление ресурсов): поднялся на 24 место (в 2023 году занимал 37 место).

В то же время уязвимости Incorrect Default Permissions (неправильные настройки доступа по умолчанию) и Race Condition исключены из топ-25.

екомендации CISA и MITRE

Корпорация MITRE и Агентство по кибербезопасности и защите инфраструктуры США (CISA) совместно подготовили этот список. CISA рекомендует организациям:

1. Применять принципы Secure-by-Design и Secure-by-Demand.
2. Использовать список CWE Top-25 как руководство при разработке и закупке программного обеспечения.
3. Управлять уязвимостями и обеспечивать безопасность приложений, ориентируясь на данный список.

Принципы Secure-by-Design и Secure-by-Default

Эти принципы направлены на создание технологий, которые учитывают безопасность с самого начала разработки, и минимизируют необходимость в дополнительных мерах для защиты.

Secure-by-Design – «Безопасность, заложенная с самого начала»

Представьте, что при строительстве дома вы сразу закладываете прочный фундамент и устанавливаете надежные замки. Secure-by-Design означает, что разработчики программного обеспечения проектируют и внедряют системы безопасности еще на этапе создания продукта.

• Просто говоря:
  Безопасность — это не дополнительная «опция», она встроена с самого начала.
  Например, приложение уже содержит встроенные механизмы защиты от вирусов или атак.

Secure-by-Default – «Безопасность по умолчанию»

Это означает, что продукт или система автоматически безопасны для использования сразу после установки, без необходимости в ручной настройке.

• Просто говоря:
  Вы покупаете телевизор, который уже настроен для работы. С безопасностью то же самое – система «из коробки» готова к безопасной эксплуатации.
  Например, функции защиты данных или требования к надежным паролям включены по умолчанию.

Заключение

Список MITRE подчеркивает важность выявления и устранения наиболее опасных уязвимостей. Применение принципов Secure-by-Design и Secure-by-Default позволяет разработчикам создавать более безопасные продукты, а пользователям — не беспокоиться о киберугрозах, пользуясь технологиями.