Koľko bezpečnostných zraniteľností existuje a ako sa hodnotí?

Bezpečnostné a technologické spoločnosti každý rok zverejňujú podrobnosti o tisícoch zraniteľností. Médiá o týchto zraniteľnostiach náležite informujú, upozorňujú na najnebezpečnejšie problémy a radia používateľom, ako zostať v bezpečí.

Ale čo keby som vám povedal, že z tých tisícov zraniteľností je málo ľudí aktívne využívaných vo voľnej prírode?

Koľko je teda slabých miest v zabezpečení a rozhodujú bezpečnostné spoločnosti o tom, ako veľmi slabá je?

Koľko bezpečnostných chýb existuje?

Kenna Security Uprednostnenie série predikčných správ zistili, že v roku 2019 zverejnili bezpečnostné spoločnosti viac ako 18 000 CVE (Common Vulnerabilities and Exposures).

Aj keď toto číslo znie vysoko, správa tiež zistila, že z týchto 18 000 zraniteľností iba 473 „dosiahlo rozsiahle vykorisťovanie“, čo je zhruba 6 percent z celkového počtu. Aj keď tieto chyby boli skutočne zneužívané na internete, neznamená to, že ich používal každý hacker a útočník na celom svete.

„„ Kód zneužitia bol už k dispozícii pre> 50% zraniteľností v čase, keď boli zverejnené zoznam CVE. "To, že exploitný kód bol už k dispozícii, znie alarmujúco pri nominálnej hodnote a je to problém. Znamená to však tiež, že bezpečnostní výskumníci už pracujú na vyriešení problému.

Bežnou praxou je oprava slabých miest v rámci 30-denného obdobia zverejnenia. Nie vždy sa to stane, ale k tomu sa snaží väčšina technologických spoločností.

Nasledujúca tabuľka ďalej ilustruje nezrovnalosť medzi počtom hlásených CVE a počtom skutočne využitých.

Asi 75 percent CVE je detegovaných pomocou menej ako 1 z 11 000 organizácií a iba 5,9 percent CVE zistí 1 zo 100 organizácií. To je dosť rozšírené.

Vyššie uvedené údaje a čísla nájdete v časti Prioritizácia predikcie zväzku 6: Rozdelenie útočníka a obrancu.

Kto prideľuje CVE?

Možno by vás zaujímalo, kto najskôr priradí a vytvorí CVE. CVE môže priradiť nielen ktokoľvek. V súčasnosti existuje 153 organizácií z 25 krajín, ktoré majú oprávnenie prideľovať CVE.

To neznamená, že iba tieto spoločnosti a organizácie sú zodpovedné za bezpečnostný výskum na celom svete. V skutočnosti ďaleko od toho. Znamená to, že týchto 153 organizácií (známych ako CVE Numbering Authorities alebo CNA), pracuje na dohodnutom štandarde pre uvoľňovanie zraniteľností do verejnej sféry.

Je to dobrovoľná pozícia. Zúčastnené organizácie musia preukázať „schopnosť riadiť zverejňovanie zraniteľnosti informácie bez predbežného zverejnenia “, ako aj na spoluprácu s ďalšími výskumníkmi, ktorí požadujú informácie o zraniteľnosti.

Existujú tri koreňové CNA, ktoré sú na vrchole hierarchie:

• MITER Corporation
• Priemyselné kontrolné systémy (ICS) agentúry Cybersecurity and Infrastructure Security Agency (CISA)
• JPCERT / CC

Všetky ostatné CNA sa podriaďujú jednému z týchto troch najvyšších orgánov. Hlásiace CNA sú prevažne technologické spoločnosti a vývojári a dodávatelia hardvéru s rozpoznávaním mien, ako sú Microsoft, AMD, Intel, Cisco, Apple, Qualcomm atď. Celý zoznam CNA je k dispozícii na internete Webová stránka MITER.

Hlásenie zraniteľnosti

Hlásenie o zraniteľnosti je tiež definované typom softvéru a platformou, na ktorej sa chyba nachádza. Závisí to aj od toho, kto to spočiatku nájde.

Napríklad, ak výskumník v oblasti zabezpečenia zistí zraniteľnosť v nejakom proprietárnom softvéri, pravdepodobne ho nahlási priamo predajcovi. Prípadne, ak sa chyba nachádza v programe s otvoreným zdrojovým kódom, môže výskumník otvoriť nový problém na stránke s hlásením alebo problémami.

Ak by však zlomyseľná osoba najskôr našla zraniteľnosť, nemusela by ju príslušnému predajcovi prezradiť. Ak k tomu dôjde, výskumníci a dodávatelia bezpečnostných riešení si nemusia byť vedomí zraniteľnosti, kým k nej nedôjde používa sa ako zneužitie nulového dňa.

Ako hodnotia bezpečnostné spoločnosti CVE?

Ďalším aspektom je to, ako bezpečnostné a technologické spoločnosti hodnotia CVE.

Výskumník v oblasti bezpečnosti nielenže vytiahne číslo zo vzduchu a priradí ho novoobjavenej zraniteľnosti. Existuje bodovací rámec, ktorý vedie bodovanie zraniteľnosti: Common Vulnerability Scoring System (CVSS).

Stupnica CVSS je nasledovná:

Závažnosť	Základné skóre
Žiadne	0
Nízka	0.1-3.9
Stredná	4.0-6.9
Vysoký	7.0-8.9
Kritické	9.0-10.0

Pri zisťovaní hodnoty CVSS pre zraniteľnosť výskumníci analyzujú sériu premenných zahŕňajúcich metriky základného skóre, metriky dočasného skóre a metriky environmentálneho skóre.

• Metriky základného skóre zahŕňajú veci, ako je zraniteľnosť využiteľná, zložitosť útoku, požadované oprávnenia a rozsah zraniteľnosti.
• Časové skóre metriky zahŕňajú aspekty, ako je napríklad vyspelý kód zneužitia, ak existuje náprava zneužitia, a dôvera v hlásenie chyby.
• Metriky environmentálneho skóre zaoberať sa niekoľkými oblasťami:
  • Metriky exploitability: Pokrýva vektor útoku, zložitosť útoku, oprávnenia, požiadavky na interakciu používateľa a rozsah.
  • Metriky vplyvu: Krytie vplyvu na dôvernosť, integritu a dostupnosť.
  • Impact Subscore: Pridáva ďalšie definície do Impact Metrics, ktoré pokrývajú požiadavky na dôvernosť, požiadavky na integritu a požiadavky na dostupnosť.

Teraz, ak to všetko znie trochu mätúce, zvážte dve veci. Po prvé, toto je tretia iterácia stupnice CVSS. Spočiatku to začalo základným skóre, až potom sa pri ďalších revíziách pridali ďalšie metriky. Aktuálna verzia je CVSS 3.1.

Po druhé, aby ste lepšie pochopili, ako CVSS označuje skóre, môžete použiť Kalkulačka CVSS národnej databázy zraniteľností zistiť, ako sú metriky zraniteľnosti vzájomne ovplyvnené.

Niet pochýb o tom, že bodovanie zraniteľnosti „okom“ by bolo mimoriadne náročné, takže takáto kalkulačka pomáha dosiahnuť presné skóre.

Zostaňte v bezpečí online

Aj keď správa Kenna Security ilustruje, že iba malá časť hlásených zraniteľností sa stáva vážnou hrozbou, 6-percentná šanca na zneužitie je stále vysoká. Predstavte si, že vaše obľúbené kreslo malo 6 zo 100 šancí na zlomenie zakaždým, keď ste si sadli. Vymenil by si to, nie?

S internetom nemáte rovnaké možnosti; je nenahraditeľný. Rovnako ako svoju obľúbenú stoličku ho však môžete opraviť a zaistiť skôr, ako sa stane ešte väčším problémom. Existuje päť dôležitých vecí, ktoré musíte urobiť, aby ste povedali bezpečne online a vyhli sa malvéru a iným zneužitiam:

1. Aktualizácia. Udržujte svoj systém aktualizovaný. Aktualizácie sú technologickými spoločnosťami číslo jeden, ktoré chránia váš počítač, opravujú chyby zabezpečenia a ďalšie chyby.
2. Antivírus. Môžete si prečítať online správy, napríklad „antivírus už nepotrebujete“ alebo „antivírus je zbytočný“. Samozrejme, útočníci sa neustále vyvíjajú, aby sa vyhli antivírusovým programom, ale bez nich by ste boli v oveľa horšej situácii ich. Integrovaný antivírus vo vašom operačnom systéme je skvelým východiskovým bodom, ale svoju ochranu môžete rozšíriť pomocou nástroja ako Malwarebytes.
3. Odkazy. Neklikajte na ne, pokiaľ neviete, kam smerujú. Môžeš skontrolujte podozrivý odkaz pomocou zabudovaných nástrojov vášho prehliadača.
4. Heslo. Urobte to silným, urobte ho jedinečným a nikdy ho nepoužívajte opakovane. Pamätať si všetky tieto heslá je však ťažké - nikto by proti tomu namietal. Preto by si mal skontrolujte správcu hesiel nástroj, ktorý vám pomôže zapamätať si a lepšie zabezpečiť vaše účty.
5. Podvody. Na internete existuje veľa podvodov. Ak sa to zdá príliš dobré na to, aby to bola pravda, to asi je. Zločinci a podvodníci sú zbehlí vo vytváraní svižných webových stránok s leštenými časťami, ktoré vás majú podvodom oklamať, bez toho, aby si to uvedomovali. Neverte všetkému, čo čítate online.

Zostať v bezpečí online nemusí byť práca na plný úväzok a nemusíte sa báť zakaždým, keď zapnete počítač. Urobenie niekoľkých bezpečnostných krokov drasticky zvýši vašu online bezpečnosť.

Aký je princíp najmenej privilegovaných osôb a ako môže zabrániť kybernetickým útokom?

Aký prístup je príliš veľký? Dozviete sa viac o princípe najmenších privilégií a o tom, ako môže zabrániť nepredvídaným kybernetickým útokom.

O autorovi