Aiemmin hyökkääjät käyttivät lähinnä yleisesti käytössä olevien ohjelmistojen vikoja.

Sansin kokoama vuoden 2007 top20-tietoturvariskit -lista keskittyy lähinnä uusiin hyökkäystekniikoihin. Tietoturva-asiantuntija kuitenkin muistuttaa, että vanhojakin haavoittuvuuksia käytetään edelleen automatisoitujen hyökkäysohjelmien avulla.

Kuluvan vuoden suurimpia tietoturvariskejä olivat muun muassa kriittiset haavoittuvuudet web-sovelluksissa. Näihin Sansin mukaan auttaa web-sovelluspalomuurit, sovellustietoturvan skannaukset, lähdekoodin testaustyökalut ja ohjelmistopenetraatiopalvelut. Tärkeimmäksi varotoimenpiteeksi Sans kuitenkin listaa tietoturvan hanskaavien web-sovelluskehittäjien hyödyntämisen.

Toinen vuoden suurimpia tietoturvaongelmia ovat helposti huijattavat tietokoneiden käyttäjät. Näihin kuuluu helposti myös johtokuntaa, it-henkilöstöä ja muita, joilla on laajemmat oikeudet tietojärjestelmiin.

Käyttäjälähtöisiin ongelmiin ei ole juuri muita ratkaisuja kuin tietoturvakoulutus ja uusien monitorointi- ja selvitysjärjestelmien pystytys.

Kolmantena riskinä listalla tulevat selaimet ja sähköpostiohjelmistot sekä lisäksi nykyään myös internet-asiakasohjelmina toimivat toimisto- ja mediasoitinohjelmistot. Näiden turvaksi tarvitaan jatkuva tietoturvapäivittäminen, haavoittuvuuksien jatkuva skannaus ja nopea reagointi mahdollisiin ongelmiin sekä tiukasti kuristetut palomuurit ja tunkeutumisenestojärjestelmät sekä ajan tasalla oleva virus- ja vakoiluntorjuntaohjelmistot.

Neljäntenä riskiryhmänä Sans pitää palvelinohjelmistoihin liittyviä ongelmia. Näihin purevat pitkälti samat aseet kuin asiakasohjelmistojen suojaamiseen.

Viidentenä listalla ovat tietoturvakäytännöistä ja näiden käytäntöjen noudattamisesta johtuvat ongelmat. Laajat käyttöoikeudet ja luvattomat laitteet heikentävät tietoturvaa. Myös kryptaamattomat kannettavat tietokoneet ja ulkoiset tallennusmediat aiheuttavat ongelmia. Paras ratkaisu näihin ongelmiin on poikkeukseton tietoturvakäytäntö, jatkuva valvonta ja kovat rangaistukset käytäntöjen rikkomuksista.

Ongelmiksi Sans listaa myös pikaviestinohjelmistot, vertaisverkko-ohjelmistot ja nollapäivän hyökkäykset. Näihin purevat vain entistä tiukemmat tietoturvasuojaukset ja -käytännöt.

Listan vuoden kuumimmista haavoittuvuuksista voi lukea kokonaisuudessaan Sansin top20 2007 security risks -sivustolta.