Google: Mất trung bình 52 ngày để các nhà cung cấp vá lỗ hổng bảo mật được báo cáo trên phần mềm của mình

Google Project Zero, một trong những tổ chức bảo mật độc lập uy tín nhất thế giới, vừa chính thức phát hành báo cáo thống kê thường niên cho giai đoạn 2019-2021. Điểm sáng nổi bật cần nhắc tới đó là các nhà cung cấp lớn hiện đã mất ít thời gian hơn để giải quyết các lỗ hổng zero-day được báo cáo. Nói cách khác, các công ty hiện đã có sự nhận thức và quan tâm đúng mức hơn cho những vấn đề liên quan đến bảo mật trên các sản phẩm, dịch vụ của mình.

Dữ liệu phân tích của Project Zero cho thấy, khoảng thời gian trung bình mà các nhà cung cấp phần mềm cần để phát hành các bản vá lỗi bảo mật được nhóm báo cáo trong năm ngoái là 52 ngày, giảm mạnh so với mức 80 ngày ghi nhận trong năm 2018.

Hơn nữa, hầu hết các nhà cung cấp đều đã tuân thủ tương đối chặt chẽ quy định về việc giải quyết lỗ hổng trong thời hạn 90 ngày theo đúng tiêu chuẩn chung của giới bảo mật. Không nhiều trường hợp phải cần tới thời gian gia hạn tối đa là 2 tuần.

Những lỗ hổng không thể ngó lơ

Lỗ hổng zero-day là các vấn đề bảo mật mà nhà phát triển phần mềm chưa biết vào thời điểm họ phát hiện ra, hoặc đã biết nhưng chưa được vá. Nhìn chung đây đều là những lỗ hổng có mức độ nghiêm trọng cao, nếu không được khắc phục kịp thời có thể bị tin tặc lợi dụng và triển khai các hoạt động độc hại gây thiệt hại lớn.

Do đó, việc phản hồi các báo cáo lỗ hổng zero-day một cách nhanh chóng đóng vai trò cực kỳ quan trọng. Đây đồng thời cũng là yếu tố thể hiện mức độ nghiêm túc của các nhà cung cấp phần mềm đối với việc đảm bảo tính bảo mật của sản phẩm mà họ đang cung cấp. Thời gian phản hồi và phát hành bản vá càng ngắn càng chứng tỏ lỗ hổng nhận được nhiều sự quan tâm của nhà cung cấp dịch vụ, từ đó góp phần hạn chế rủi ro cho cả người dùng.

Theo số liệu thống kê giai đoạn 2019-2021 dựa trên 376 lỗ hổng zero-day đã được phát hiện và báo cáo bởi đội ngũ Project Zero, có 26% vấn đề liên quan đến phần mềm của Microsoft, 23% của Apple và 16% thuộc về chính Google. Như vậy chỉ riêng ba gã khổng lồ phần mềm này đã chiếm tới 65% tổng số lỗ hổng được Project Zero phát hiện, phản ánh mức độ phức tạp và khối lượng lớn các sản phẩm dịch vụ của họ. Trong đó, Apple mất trung bình 69 ngày để khắc phục lỗ hổng, Microsoft mất tới 83 ngày, trong khi Google tiêu tốn 44 ngày cho mỗi bản vá.

Nếu xét về mức độ tích cực và nghiêm túc trong việc phát hành bản vá zero-day, Linux lại là cái tên dẫn đầu. Chỉ có 25 lỗ hổng zero-day Linux được đội ngũ Project Zero phát hiện từ năm 2019-2021, và cũng chỉ mất trung 25 ngày đề một lỗ hổng như vậy được khắc phục - con số cực kỳ ấn tượng.

Ngược lại, Oracle cần tới 109 ngày để phát hành mỗi bản vá zero-day. Một nhà cung cấp lớn khác là Samsung cũng cần tới 72 ngày đề làm điều tương tự.

Trong danh mục trình duyệt web, Chrome đánh bại tất cả các đối thủ với thời gian sửa lỗi trung bình là 29,9 ngày, trong khi Firefox đứng thứ hai với 37,8 ngày. Apple đã mất hơn gấp đôi mức thời gian đó để sửa lỗi WebKit. Loạt vấn đề đã gây ra rắc rối cho Safari trong vài năm qua cần trung bình 72,7 ngày để khắc phục.

Nhìn chung, đã có sự cố gắng của các nhà cung cấp trong việc khắc phục các lỗ hổng được báo cáo trên phần mềm của mình. Đây là điều cần được ghi nhận. Tuy nhiên, họ hoàn toàn có thể và nên cố gắng nhiều hơn nữa trong tương lai vì giới tin tặc rõ ràng sẽ không dành cho họ nhiều thời gian đến vậy.

Google Project Zero là một trong những tổ chức bảo mật được đánh giá rất cao về mặt chuyên môn hiện nay. Những phát hiện của nhóm không chỉ có ý nghĩa quan trọng đối với chính sản phẩm của Google, mà còn có thể góp phần “cứu sống” nhiều tổ chức, doanh nghiệp lớn trước nguy cơ về một thảm họa an ninh mạng.