Det genomsnittliga antalet allvarliga sårbarheter som säkerhetstestare hittat på webbplatser under 2011 var 148, en minskning från 230 under 2010 och 480 under 2009, sa Jeremiah Grossman, teknisk chef för Whitehat Security som specialiserat sig på att testa säkerheten på webbplatser, under Application security project conference i Sydney i måndags.

De sårbarheter som finns kan härledas till den egna webbplatsens kod och är inget som kan åtgärdas genom att tillämpa patchar från till exempel Microsoft eller Oracle, säger Grossman. Enligt Whitehat Securitys statistik tar det organisationer i genomsnitt 100 dagar att fixa ungefär hälften av deras aktuella sårbarheter.

Risken är att sårbarheter som inte snabbt åtgärdas kan upptäckas av en inkräktare, vilket kan resultera i allvarliga dataintrång av den magnitud som drabbade Sony, analysföretaget Stratfor Global intelligence, och AT&T.

"Hackare ökar sin kompetens och blir bättre på att fokusera sina attacker. De använder ett bredare utbud av förbättrade verktyg för att hitta svagheter i webbplatsers kod. De blir bättre och mer offensiva för varje år", sa Grossman.

Whitehat Securitys säkerhetsforskare försöker, med full tillåtelse, ständigt att hacka webbplatser som tillhör stora finansiella institut och andra företag. Utvecklare i dessa företag meddelar inte Whitehat när de rullar ut nya funktioner eller gör ändringar.

"Vi attackerar webbplatser konstant. Vi är LulzSec eller Anonymous 24 timmar om dygnet. Vi slutar aldrig, menade Grossman.

Företagen får därefter besluta om de vill åtgärda problemen, vilket ofta innebär en omfördelning av resurser på it-avdelningen. En tekniker som exempelvis arbetar på en ny funktion som verksamheten behöver rulla ut, får kanske istället lägga mycket tid på att täta sårbarheterna som upptäckts. Det är en chansning om man skall fixa sårbarheterna eller inte, eftersom de kanske aldrig hittas av en hacker, men kan stå företaget dyrt om de hittas.

IDG News