Mówi się nam, że jednym z najlepszych sposobów zachowania bezpieczeństwa jest upewnienie się, że nasze komputery są załatane. Ale zawsze powinniśmy mieć świadomość, że w danym momencie istnieje kilka luk, które mogą być znane i wykorzystywane przez atakujących. Dobrą wiadomością jest to, że według Google Project Zero liczba dni między wykryciem błędu a jego naprawieniem powoli maleje. Śledzi czas potrzebny dostawcom na naprawienie błędów i stwierdził, że „w 2021 r. naprawienie luk w zabezpieczeniach zgłoszonych przez Project Zero zajęło dostawcom średnio 52 dni. To znaczne przyspieszenie od średniej z około 80 dni. Lata temu."
Przeglądając listę błędów zgłoszonych od 2019 do 2021 r., jasne jest, że żadna platforma nie jest odporna. Apple był często reklamowany jako natywnie bezpieczniejszy niż inne platformy, ale według Google Project Zero miał łącznie 84 błędy, w porównaniu do 80 Microsoftu. Średnia liczba dni na naprawę błędów została skrócona z 71 dni w przypadku Apple w 2019 r. do 64 dni w 2021 r. W przypadku firmy Microsoft czas realizacji został skrócony ze średnio 85 dni do 76 dni.
Nie myśl tylko o błędach w desktopowym systemie operacyjnym; Ważne jest również, aby pamiętać o błędach na platformach smartfonów. W programie Google Project Zero naprawienie problemów z iOS zajęło średnio 70 dni (i 72 dni na naprawienie błędów Androida na platformie Samsung). Tam, gdzie dwie platformy się rozchodzą, jest liczba naprawionych błędów. iOS miał 76 przeciwko 10 dla Androida na platformie Samsung i 6 na platformie Android Pixel). Ta rozbieżność jest bardziej odzwierciedleniem sposobu, w jaki Apple buduje i wdraża oprogramowanie.
„Aktualizacje zabezpieczeń dla„ aplikacji ”, takich jak iMessage, FaceTime i Safari/WebKit, są dostarczane jako część aktualizacji systemu operacyjnego, więc uwzględniliśmy je w analizie systemu operacyjnego” – powiedział Project Zero. „Z drugiej strony aktualizacje zabezpieczeń dla samodzielnych aplikacji na Androida są dostarczane za pośrednictwem sklepu Google Play, więc nie zostały uwzględnione w tej analizie”.
W przypadku przeglądarek ta z największą liczbą użytkowników miała również najwięcej błędów. Google Chrome miał 40 błędów w ciągu tych trzech lat i średnio najszybszy czas na naprawienie błędu. Ale nie bądź zadowolony, jeśli używasz przeglądarki Brave: wiele przeglądarek jest opartych na silniku Chromium i dlatego jest tak samo podatnych na ataki jak Chrome. Edge, Opera, Vivaldi, Brave, Colibri, Epic i Iron, między innymi, znajdują się w tym samym garnku Chromium. Dlatego gdy Chrome otrzyma obowiązkową poprawkę bezpieczeństwa, sprawdź aktualizacje innych przeglądarek.
Przeglądarki to zasadniczo nowy „system operacyjny”; wymagają szczególnej uwagi, ponieważ są używane na tak wiele sposobów i ponieważ tak wiele produktów i usług zostało przeniesionych do chmury. Możesz nawet rozważyć uruchomienie wersji Chrome i Edge dla programistów, ponieważ wersje beta często zawierają funkcje bezpieczeństwa, które mogą lepiej Cię chronić. Możesz też pobrać rozszerzone wersje pomocy technicznej, które zapewniają stabilne rozwiązania w dłuższej perspektywie. (Firefox, na przykład, ma rozszerzone wersje wsparcia (ESR).) Nawet jeśli nie jesteś użytkownikiem korporacyjnym, nadal możesz pobrać Firefox ESR, zwłaszcza jeśli chcesz mieć bezpieczną platformę bez konieczności zajmowania się zmianami. Zaletą jest powolne wdrażanie zmian; minusem jest to, że zmiany są zwykle drastyczne. Dlatego musisz wiedzieć, kiedy zmiany zostaną wprowadzone.
Inną taktyką jest upewnienie się, że przeglądarki są ustawione na automatyczną aktualizację i natychmiastowe instalowanie poprawek. Ogólnie na Askwoody.com zachęcam użytkowników do natychmiastowego opóźnienia aktualizacji systemu Windows i poczekania, aż dostaniemy zielone światło dla wszystkich znanych problemów. Ale w przypadku przeglądarek zdecydowanie zalecam natychmiastowe zainstalowanie aktualizacji; Jeśli wystąpią jakiekolwiek skutki uboczne, możesz łatwo przełączyć się na inną przeglądarkę, dopóki błędy nie zostaną naprawione.
Chociaż przyspieszenie aktualizacji zabezpieczeń jest często dobrą rzeczą, zarządzanie efektami ubocznymi dostawców nie jest. W zeszłym roku Chrome zmienił wysyłanie aktualizacji co sześć tygodni na wysyłanie aktualizacji co cztery tygodnie. (Rozszerzone wydanie zabezpieczeń otrzymuje wersje funkcji co 8 tygodni.)
W przypadku Edge możesz użyć usługi Intune lub zasad grupy, aby zmienić rozszerzony rytm wydawania. Otwórz Edytor lokalnych zasad grupy, przejdź do Konfiguracja komputera, następnie Szablony administracyjne, a następnie Aktualizacja Microsoft Edge > Aplikacje > Microsoft Edge. Wybierz Zastąpienie kanału docelowego i wybierz Włączone. W obszarze Opcje wybierz „Rozszerzona stabilna” z listy rozwijanej Zasady.
Podsumowując: pamiętaj, że w przypadku wszystkich luk, które są naprawiane co miesiąc, istnieje wiele innych, które wciąż są badane i nie zostały jeszcze naprawione. Niektóre z nich są nawet wykorzystywane przez atakujących. Zawsze, gdy korzystasz z komputera, zachowaj ostrożność i klikaj ostrożnie. Zawsze jesteś zagrożony.
Prawa autorskie © 2022 IDG Communications, Inc.