Relatório sobre 25 anos de pesquisa de vulnerabilidades (1988-2012) – Pesquisa feita pela SourceFire (via @sourcefire)

A SourceFire fez uma pesquisa sobre os últimos 25 anos de vulnerabilidades, gerando um relatório com a análise que possui o seguinte nome “25 Years of Vulnerabilities: 1988-2012“. Nós do BlogSegInfo fizemos a leitura do relatório e separamos algumas das informações contidas no mesmo. Boa leitura !

De 1988 a 2005 tivemos um crescimento no número de vulnerabilidades, com uma leve decaída em 2003. O pico foi em 2006, com 6612 relatos, e após houve um declínio até o ano de 2012 onde tivemos outro aumento significativo.

figura-1-vulnerabilidades-por-ano

Figura 1: Vulnerabilidades por ano

Ao verificar as vulnerabilidades reportadas com CVSS (Common Vulnerability Scoring System) maior ou igual a 7, significando importantes, de alta gravidade, temos uma análise diferente. A partir de 2007 começou a ser visto um declínio quanto as vulnerabilidades graves. No entanto se formos analisar a porcentagem desses ataques por ano, podemos perceber um aumento a partir de 2010, já que em 2010 tivemos 5.56% de ataques críticos; 2011 9.32% do total e 2012 9.16%.

figura-2-vulnerabilidades-altas-por-ano

Figura 2: Vulnerabilidades CVSS>=7 por ano

Agora, observando não mais a quantidade e sim os tipos das vulnerabilidades dos últimos 25 anos, temos como Top 5:

  • Buffer Errors – 14%
  • XSS – 13%
  • Access Control – 11%
  • SQL Injection – 10%
  • Input Validation – 10%

E observando o Top 5 dos tipos das vulnerabilidades graves reportadas, temos:

  • Buffer Errors – 23%
  • SQL Injection – 20%
  • Code Injection – 10%
  • Access Control – 10%
  • Nor enough info – 8%

Buffer overflows permaneceram no topo da lista de vulnerabilidades ano após ano até 2005, quando foram destronados pelo XSS. Buffer overflows saíram do “Top 3” em 2006, ano em que XSS foi também a principal vulnerabilidade. Em 2007 os buffers overflows voltaram ao topo, perdendo a posição em 2008 e 2009 para os SQL Injections. Em 2010 XSS retornam ao topo, mas saem do “Top 3” em 2011, ano em que os buffer overflows voltam a ser a vulnerabilidade mais relevante. Finalmente, em 2012, questões de controle de acesso aparecem como a vulnerabilidade mais freqüente, após sete anos sem figurar no “Top 3”.

Além das análises descritas acima, o relatório mostra ainda comparação com: produtos, fabricantes, dentre outros. Veja o relatório completo através do link.