Każdego roku firmy z branży bezpieczeństwa i technologii publikują szczegółowe informacje o tysiącach luk w zabezpieczeniach. Media należycie informują o tych lukach, zwracając uwagę na najniebezpieczniejsze kwestie i doradzając użytkownikom, jak zachować bezpieczeństwo.

Ale co, jeśli powiem ci, że z tych tysięcy luk tylko nieliczne są aktywnie wykorzystywane na wolności?

Ile więc jest luk w zabezpieczeniach i czy firmy zajmujące się bezpieczeństwem decydują o tym, jak poważna jest luka?

Ile jest luk w zabezpieczeniach?

Kenna Security's Priorytetyzacja serii raportów prognoz ustalili, że w 2019 roku firmy zajmujące się bezpieczeństwem opublikowały ponad 18 000 CVE (wspólnych luk i zagrożeń).

Chociaż liczba ta wydaje się wysoka, raport wykazał również, że z tych 18 000 luk tylko 473 „osiągnęło powszechną eksploatację”, co stanowi około 6 procent wszystkich luk. Chociaż te luki były rzeczywiście wykorzystywane w Internecie, nie oznacza to, że korzystał z nich każdy haker i atakujący na całym świecie.

instagram viewer

Co więcej, „kod exploita był już dostępny dla> 50% luk w czasie, gdy zostały opublikowane listę CVE. ”To, że kod exploita był już dostępny, brzmi niepokojąco, a jest to plik kwestia. Jednak oznacza to również, że badacze bezpieczeństwa już pracują nad załataniem tego problemu.

Powszechną praktyką jest łatanie luk w zabezpieczeniach w ciągu 30 dni od publikacji. To nie zawsze się zdarza, ale jest to coś, do czego dąży większość firm technologicznych.

Poniższy wykres dodatkowo ilustruje rozbieżność między liczbą zgłoszonych CVE a liczbą faktycznie wykorzystanych.

Około 75 procent CVE jest wykrywanych przez mniej niż 1 na 11 000 organizacji, a zaledwie 5,9 procent CVE jest wykrywanych przez 1 na 100 organizacji. To całkiem rozrzut.

Powyższe dane i liczby można znaleźć w książce Prioritization to Prediction Volume 6: The Attacker-Defender Divide.

Kto przydziela CVE?

Możesz się zastanawiać, kto przypisuje i tworzy CVE na początku. Nie tylko każdy może przypisać CVE. Obecnie 153 organizacje z 25 krajów są upoważnione do przydzielania CVE.

Nie oznacza to, że tylko te firmy i organizacje są odpowiedzialne za badania nad bezpieczeństwem na całym świecie. Wręcz przeciwnie, w rzeczywistości. Oznacza to, że te 153 organizacje (znane jako urzędy numeracyjne CVE lub w skrócie CNA) pracują zgodnie z uzgodnionym standardem udostępniania luk w domenie publicznej.

To dobrowolne stanowisko. Organizacje uczestniczące muszą wykazać „zdolność do kontrolowania ujawniania luk w zabezpieczeniach informacje bez uprzedniej publikacji ”, a także współpracować z innymi badaczami, którzy proszą o informacje na temat luki w zabezpieczeniach.

Istnieją trzy główne CNA, które znajdują się na szczycie hierarchii:

  • MITER Corporation
  • Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) Industrial Control Systems (ICS)
  • JPCERT / CC

Wszystkie inne CNA podlegają jednemu z tych trzech organów najwyższego szczebla. Raportujące CNA to głównie firmy technologiczne, programiści sprzętu i dostawcy z rozpoznawaniem nazw, tacy jak Microsoft, AMD, Intel, Cisco, Apple, Qualcomm i tak dalej. Pełna lista CNA jest dostępna na Witryna MITER.

Zgłaszanie luk w zabezpieczeniach

Raportowanie podatności jest również definiowane przez rodzaj oprogramowania i platformę, na której znajduje się luka. Zależy to również od tego, kto go początkowo znajdzie.

Na przykład, jeśli badacz bezpieczeństwa znajdzie lukę w oprogramowaniu zastrzeżonym, prawdopodobnie zgłosi ją bezpośrednio do dostawcy. Alternatywnie, jeśli luka zostanie znaleziona w programie typu open source, badacz może otworzyć nowy problem na stronie raportowania projektu lub na stronie problemów.

Jeśli jednak nikczemna osoba miałaby najpierw znaleźć lukę w zabezpieczeniach, może nie ujawnić jej danemu sprzedawcy. W takim przypadku badacze bezpieczeństwa i dostawcy mogą nie zdawać sobie sprawy z luki, dopóki się nie pojawi używany jako exploit zero-day.

Jak firmy ochroniarskie oceniają CVE?

Inną kwestią jest to, jak firmy z branży bezpieczeństwa i technologii oceniają CVE.

Badacz bezpieczeństwa nie tylko wyciąga pewną liczbę z powietrza i przypisuje ją do nowo odkrytej luki. Istnieje struktura oceniania, która kieruje oceną luk w zabezpieczeniach: Common Vulnerability Scoring System (CVSS).

Skala CVSS przedstawia się następująco:

Surowość Wynik podstawowy
Żaden 0
Niska 0.1-3.9
Średni 4.0-6.9
Wysoki 7.0-8.9
Krytyczny 9.0-10.0

Aby obliczyć wartość CVSS dla luki w zabezpieczeniach, badacze analizują szereg zmiennych obejmujących wskaźniki wyniku podstawowego, metryki wyniku czasowego i metryki wyniku środowiskowego.

  • Wskaźniki wyniku podstawowego obejmują takie kwestie, jak możliwość wykorzystania luki, złożoność ataku, wymagane uprawnienia i zakres luki.
  • Temporal Score Metrics obejmują aspekty, takie jak stopień dojrzałości kodu exploita, czy istnieją środki zaradcze dla exploita oraz zaufanie do zgłaszania luki w zabezpieczeniach.
  • Wskaźniki wyniku środowiskowego zajmować się kilkoma obszarami:
    • Wskaźniki możliwości wykorzystania: Obejmuje wektor ataku, złożoność ataku, uprawnienia, wymagania dotyczące interakcji użytkownika i zakres.
    • Wskaźniki wpływu: Obejmujące wpływ na poufność, integralność i dostępność.
    • Punktacja wpływu: Dodaje dalsze definicje do wskaźników wpływu, obejmujące wymagania dotyczące poufności, wymagania dotyczące integralności i wymagania dotyczące dostępności.

Teraz, jeśli to wszystko brzmi trochę zagmatwane, rozważ dwie rzeczy. Po pierwsze, jest to trzecia iteracja skali CVSS. Zaczęło się od wyniku podstawowego przed dodaniem kolejnych metryk w późniejszych wersjach. Obecna wersja to CVSS 3.1.

Po drugie, aby lepiej zrozumieć, w jaki sposób CVSS określa wyniki, możesz użyć rozszerzenia Krajowa baza danych luk w zabezpieczeniach Kalkulator CVSS aby zobaczyć, jak wskaźniki luk w zabezpieczeniach oddziałują na siebie.

Nie ma wątpliwości, że ocena luki „na oko” byłaby niezwykle trudna, więc taki kalkulator pomaga uzyskać dokładny wynik.

Bezpieczeństwo w Internecie

Mimo że raport Kenna Security pokazuje, że tylko niewielka część zgłoszonych luk w zabezpieczeniach staje się poważnym zagrożeniem, 6-procentowa szansa na wykorzystanie jest nadal wysoka. Wyobraź sobie, że Twoje ulubione krzesło ma 6 na 100 szans na pęknięcie za każdym razem, gdy siadasz. Wymieniłbyś to, prawda?

Nie masz takich samych opcji z Internetem; jest niezastąpiony. Jednak, podobnie jak w przypadku swojego ulubionego krzesła, możesz je załatać i zabezpieczyć, zanim stanie się jeszcze większym problemem. Jest pięć ważnych rzeczy, które należy zrobić, aby powiedzieć, że bezpiecznie online i unikać złośliwego oprogramowania i innych exploitów:

  1. Aktualizacja. Dbaj o aktualność systemu. Aktualizacje to najważniejszy sposób, w jaki firmy technologiczne chronią Twój komputer, usuwając luki i inne wady.
  2. Antywirus. Możesz przeczytać w Internecie takie informacje, jak „nie potrzebujesz już programu antywirusowego” lub „program antywirusowy jest bezużyteczny”. Pewnie, osoby atakujące stale ewoluują, aby omijać programy antywirusowe, ale bez nich byłbyś w znacznie gorszej sytuacji im. Zintegrowany program antywirusowy w systemie operacyjnym to świetny punkt wyjścia, ale możesz zwiększyć ochronę za pomocą narzędzia takiego jak Malwarebytes.
  3. Spinki do mankietów. Nie klikaj ich, chyba że wiesz, dokąd zmierzają. Możesz sprawdź podejrzany link używając wbudowanych narzędzi przeglądarki.
  4. Hasło. Postaraj się, aby był mocny, aby był wyjątkowy i nigdy nie używaj go ponownie. Jednak zapamiętanie wszystkich tych haseł jest trudne - nikt nie zaprzeczyłby temu. Dlatego powinieneś sprawdź menedżera haseł narzędzie, które pomoże Ci zapamiętać i lepiej zabezpieczyć swoje konta.
  5. Oszustwa. W Internecie jest wiele oszustw. Jeśli wydaje się to zbyt piękne, aby mogło być prawdziwe, to prawdopodobnie jest. Przestępcy i oszuści są biegli w tworzeniu oszałamiających witryn z dopracowanymi częściami, aby oszukać Cię przez oszustwo, nie zdając sobie z tego sprawy. Nie wierz we wszystko, co czytasz online.

Dbanie o bezpieczeństwo w Internecie nie musi być pracą na pełny etat i nie musisz się martwić za każdym razem, gdy uruchamiasz komputer. Podjęcie kilku kroków w zakresie bezpieczeństwa drastycznie zwiększy Twoje bezpieczeństwo w Internecie.

E-mail
Jaka jest zasada najmniejszego przywileju i jak może zapobiegać cyberatakom?

Ile dostępu to za dużo? Dowiedz się o zasadzie najmniejszych przywilejów i o tym, jak może ona pomóc w uniknięciu nieprzewidzianych cyberataków.

Powiązane tematy
  • Technologia wyjaśniona
  • Bezpieczeństwo
  • Oszustwa
  • Bezpieczeństwo online
  • Antywirus
  • Złośliwe oprogramowanie
  • Tylne drzwi
O autorze
Gavin Phillips (Opublikowano 742 artykuły)

Gavin jest młodszym redaktorem dla Windows and Technology Explained, stałym współpracownikiem Really Useful Podcast, a także redaktorem siostrzanej witryny MakeUseOf, Blocks Decoded, skupiającej się na kryptografii. Posiada tytuł licencjata (z wyróżnieniem) w zakresie współczesnego pisania z praktykami sztuki cyfrowej zrabowanych ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie w pisaniu. Uwielbia herbatę, gry planszowe i piłkę nożną.

Więcej od Gavina Phillipsa

Zapisz się do naszego newslettera

Dołącz do naszego biuletynu, aby otrzymywać wskazówki techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Jeszcze jeden krok…!

Potwierdź swój adres e-mail w wiadomości, którą właśnie wysłaliśmy.

.