Компания Venafi, занимающаяся вопросами кибербезопасности, поделилась результатами своего исследования актуальности уязвимости Heartbleed, обнаруженной в криптографической библиотеке с открытым кодом OpenSSL.
Напомним, что вскоре после обнаружения уязвимости Heartbleed специалисты OpenSSL Project выпустили патч, который ее закрывал, а спустя месяц после придания существования уязвимости огласке независимый исследователь Роберт Грахам нашел в Интернете более 300 тыс. непропатченных систем.
Что же показали свежие исследования компании Venafi? Вроде, все неплохо — сегодня в 99% (из 500 тыс. обследованных) систем патчи установлены. Однако, как считает Кевин Босек, вице-президент компании Venafi, этого недостаточно для того, чтобы полностью обезопасить себя от последствий уязвимости Heartbleed.
По его мнению, следует еще переиздать SSL-сертификат, сменить ключи шифрования и аннулировать прежний сертификат. Так вот эта рекомендация, как показывают исследования Venafi, к настоящему времени выполнена полностью всего лишь на 3% серверов, установленных в компаниях, относящихся к категории Global 2000.
Есть, однако, и более обнадеживающие данные. Так, исследования, проведенные компанией Netcraft в мае 2014г., показали, что сертификаты переизданы для 43% проверенных ею сайтов.
Данные Venafi оспаривает также технический директор компании Crowdstrike Дмитрий Альперович. Он полагает, что менять сертификаты и ключи совсем необязательно — вполне достаточно установить патч, чтобы обезопасить себя от уязвимости Heartbleed.
Однако Кевин Босек с этим не согласен и как аргумент приводит аналогию с регулярной сменой паролей доступа — процедурой, которой не станет противоречить ни один ИБ-специалист.
Согласно выводам специалистов проекта SSL Pulse, организации занимающейся мониторингом состояния SSL в Интернете, на 3 июля этого года из сайтов, которые были обследованы этой организацией и используют SSL, примерно 25% можно признать защищенными. В то же время специалисты SSL Pulse считают, что сегодня только 0,5% просканированных ими сайтов все еще уязвимы через брешь Heartbleed.
Как видим, свежие данные исследований об актуальности уязвимости в функции Heartbleed противоречивы. А это значит, что решение в каждом конкретном случае должны принимать ИБ-специалисты конкретных компаний, на плечи которых возложена ответственность за корпоративную ИБ.