По данным CISA, в прошлом году 51 федеральное гражданское агентство, участвовавшее в программе, устранило 872 уязвимости, что на 78% больше, чем в 2022 году.
Фотоиллюстрация Даниэль Тернес/Cybersecurity Dive; фотография yucelyilmaz через Getty Images
Краткий обзор:
- Федеральные гражданские агентства рассмотрели более 7000 уязвимостей, представленных на Платформу политики раскрытия информации об уязвимостях в 2023 году, сообщило Агентство по кибербезопасности и безопасности инфраструктуры в понедельник в ежегодном отчете о программе.
- Федеральные агентства устранили 872 уязвимости в прошлом году, что на 78% больше, чем в 2022 году, говорится в отчете CISA. Федеральное правительство определило, что 15% уязвимостей, представленных на платформу VDP в прошлом году, были действительными.
- Программа последовательно сортирует рост критических уязвимостей. Платформа VDP выявила 250 критических уязвимостей в 2023 году, что на 130% больше, чем в 2022 году.
Dive Insight:
Рост уязвимостей, выявленных платформой VDP, отчасти обусловлен растущим участием в государственном и частном секторах.
CISA создала программу управления уязвимостями федерального правительства в 2021 году, чтобы помочь федеральным гражданским агентствам выявлять обнаруженные исследователями дефекты программного обеспечения и устранять их.
Программа завершилась в 2023 году при поддержке 51 федерального агентства и 3246 исследователей общественной безопасности, из которых более 1700 присоединились в прошлом году.
«Поскольку все больше агентств продолжают подключаться к платформе VDP, количество выявленных и устраненных уязвимостей будет продолжать расти, что приведет к более безопасной федеральной среде», — говорится в годовом отчете CISA.
Участвующие агентства проверяли сообщения об уязвимостях в среднем на два дня быстрее, чем неучаствующие агентства. По данным CISA, в прошлом году агентства, участвовавшие в платформе VDP, сэкономили в среднем 4,45 млн долларов США на потенциальных затратах на устранение критических и серьезных уязвимостей.
В пятерку основных классов уязвимостей, выявленных с помощью платформы VDP в 2023 году, входят: межсайтовый скриптинг, внедрение на стороне сервера, раскрытие конфиденциальных данных, неправильная настройка безопасности сервера и нарушенный контроль доступа.