⚠ Несвоевременное устранение уязвимостей вендорами ставит под угрозу пользователей, компании и целые отрасли Как только вендор узнает об обнаруженной уязвимости нулевого дня в его продуктах, крайне важно как можно быстрее выпустить исправление, поскольку задержки позволяют злоумышленникам все чаще эксплуатировать такие уязвимости в своих атаках. Кроме того, промедление в ответственном раскрытии информации об уязвимостях чревато и ростом числа атак на цепочки поставок. 🕵‍♂ Исследователи Positive Technologies из команды PT SWARM за 2022 и 2023 годы выявили более 250 уязвимостей (70% из которых — высокого и критического уровня опасности) в программном и аппаратном обеспечении 84 вендоров. При этом только у каждого четвертого производителя ПО на сайте были контакты для связи на такой случай и хоть какая-то политика ответственного разглашения. ⏳ Наши специалисты считают, что оптимальное время ответа вендора на сообщение о найденной уязвимости составляет от одного дня до недели: в такие сроки исследователям Positive Technologies смогли ответить 57% вендоров. Доля вендоров, справившихся с оперативным реагированием и выпуском обновлений в наиболее желательный интервал, от одного дня до двух недель, составила всего 14%, а почти половина из них (49%) выпустила исправления в течение трех месяцев. 💬 «Мы призываем вендоров к выстраиванию прозрачного и взаимовыгодного сотрудничества со специалистами по кибербезопасности, потому что только сообща можно своевременно выявлять и исправлять уязвимости ПО, противостоять натиску киберпреступности в интересах всех сторон», — рассказал Федор Чунижеков, старший аналитик исследовательской группы Positive Technologies. #PositiveTechnologies