Koliko sigurnosnih ranjivosti postoji i kako se procjenjuju?

Svake godine sigurnosne i tehnološke tvrtke objavljuju detalje o tisućama ranjivosti. Mediji uredno izvještavaju o tim ranjivostima, ističući najopasnija pitanja i savjetujući korisnike kako da budu sigurni.

Ali što ako bih vam rekao da se od tih tisuća ranjivosti malo tko aktivno iskorištava u divljini?

Dakle, koliko sigurnosnih ranjivosti postoji i odlučuju li sigurnosne tvrtke koliko je ranjivost loša?

Koliko sigurnosnih ranjivosti postoji?

Kenna Security's Davanje prioriteta seriji izvještaja o predviđanju otkrili su da su 2019. zaštitarske tvrtke objavile preko 18 000 CVE-a (uobičajene ranjivosti i izloženosti).

Iako ta brojka zvuči visoko, izvještaj je također otkrio da je od tih 18.000 ranjivosti samo 473 "doseglo široko iskorištavanje", što je oko 6 posto od ukupnog broja. Iako su se ove ranjivosti doista iskorištavale putem interneta, to ne znači da su ih koristili svi hakeri i napadači širom svijeta.

Nadalje, "exploit kôd je već bio dostupan za> 50% ranjivosti do trenutka objavljivanja "Da je eksploatacijski kôd već bio dostupan zvuči alarmantno u stvarnosti, a to je problem. Međutim, to također znači da istraživači sigurnosti već rade na popravljanju problema.

Uobičajena je praksa ranjivosti zakrpati u roku od 30 dana od objave. To se ne događa uvijek, ali to je ono na čemu radi većina tehnoloških tvrtki.

Grafikon u nastavku ilustrira nesklad između broja prijavljenih CVE-a i broja stvarno iskorištenih.

Oko 75 posto CVE otkriva manje od 1 od 11 000 organizacija, a samo 5,9 posto CVE otkriva 1 od 100 organizacija. To je prilično širenje.

Gore navedene podatke i brojke možete pronaći u Prioritetu prema predviđanju sveska 6: Podjela napadača i branitelja.

Tko dodjeljuje CVE?

Možda se pitate tko za početak dodjeljuje i izrađuje CVE. Ne može bilo tko dodijeliti CVE. Trenutno postoje 153 organizacije iz 25 zemalja koje su ovlaštene za dodjelu CVE-a.

To ne znači da su samo ove tvrtke i organizacije odgovorne za sigurnosna istraživanja širom svijeta. Daleko od toga, zapravo. Što znači je da ove 153 organizacije (poznate kao CVE numerička tijela ili skraćeno CNA) rade prema dogovorenom standardu za puštanje ranjivosti u javnu domenu.

To je dobrovoljan položaj. Organizacije koje sudjeluju moraju pokazati "sposobnost nadzora nad otkrivanjem ranjivosti informacije bez prethodnog objavljivanja ", kao i za rad s drugim istraživačima koji traže informacije o ranjivosti.

Postoje tri korijenska CNA-a koja sjede na vrhu hijerarhije:

• MITER Corporation
• Agencije za internetsku sigurnost i sigurnost infrastrukture (CISA), industrijski sustavi upravljanja (ICS)
• JPCERT / CC

Svi ostali CNA podnose izvješća jednoj od ove tri najviše razine vlasti. Izvještajne CNA-e uglavnom su tehnološke tvrtke i programeri hardvera i dobavljači s prepoznavanjem imena, kao što su Microsoft, AMD, Intel, Cisco, Apple, Qualcomm itd. Cjelovit popis CNA dostupan je na Web stranica MITER.

Izvještavanje o ranjivosti

Izvještavanje o ranjivosti također je definirano vrstom softvera i platformom na kojoj se ranjivost nalazi. Ovisi i o tome tko ga u početku pronađe.

Na primjer, ako istraživač sigurnosti pronađe ranjivost u nekom vlasničkom softveru, vjerojatno će ga izravno prijaviti dobavljaču. Alternativno, ako se ranjivost pronađe u programu otvorenog koda, istraživač može otvoriti novo izdanje na stranici s izvješćima o projektu ili izdanjima.

Međutim, ako bi zlobna osoba prvo pronašla ranjivost, možda je ne bi otkrila dotičnom dobavljaču. Kada se to dogodi, istraživači i dobavljači sigurnosti možda neće postati svjesni ranjivosti dok ona ne bude otkrivena koristi se kao iskorištavanje nula dana.

Kako zaštitarske tvrtke ocjenjuju CVE-ove?

Sljedeće je razmatranje kako sigurnosne i tehnološke tvrtke ocjenjuju CVE.

Istraživač sigurnosti ne izvlači samo broj iz zraka i dodjeljuje ga novootkrivenoj ranjivosti. Postoji uspostavljeni okvir bodovanja koji vodi bodovanje ranjivosti: Zajednički sustav bodovanja ranjivosti (CVSS).

Skala CVSS je sljedeća:

Ozbiljnost	Osnovni rezultat
Nijedna	0
Niska	0.1-3.9
Srednji	4.0-6.9
Visoko	7.0-8.9
Kritično	9.0-10.0

Da bi utvrdili vrijednost CVSS-a za ranjivost, istraživači analiziraju niz varijabli koje pokrivaju metrike osnovne ocjene, metrike vremenske ocjene i metrike rezultata okoliša.

• Metrika osnovne ocjene pokrivaju stvari poput toga koliko je ranjivost iskoristiva, složenost napada, potrebne privilegije i opseg ranjivosti.
• Metrika vremenske ocjene pokriti aspekte kao što su zrelost eksploatacijskog koda, ako postoji sanacija za eksploataciju, i povjerenje u prijavljivanje ranjivosti.
• Mjerne vrijednosti okolišne ocjene baviti se s nekoliko područja:
  • Metrika eksploatabilnosti: Pokriva vektor napada, složenost napada, privilegije, zahtjeve za interakciju korisnika i opseg.
  • Metrika utjecaja: Pokriva utjecaj na povjerljivost, integritet i dostupnost.
  • Učinak Podcjena: Dodaje daljnju definiciju metrike utjecaja, koja pokriva zahtjeve povjerljivosti, zahtjeve integriteta i zahtjeve dostupnosti.

Sad, ako sve to zvuči pomalo zbunjujuće, razmislite o dvije stvari. Prvo, ovo je treća iteracija CVSS ljestvice. U početku je započeo s osnovnom ocjenom prije dodavanja sljedećih mjernih podataka tijekom kasnijih revizija. Trenutna verzija je CVSS 3.1.

Drugo, da biste bolje razumjeli kako CVSS denominira ocjene, možete koristiti Nacionalna baza podataka o ranjivosti CVSS kalkulator kako bi vidjeli kako međusobno utječu mjerni podaci o ranjivosti.

Nema sumnje da bi bodovanje ranjivosti "okom" bilo izuzetno teško, pa kalkulator poput ovog pomaže u preciznom bodovanju.

Sigurnost na mreži

Iako izvješće Kenna Security ilustrira da samo mali dio prijavljenih ranjivosti postaje ozbiljna prijetnja, šansa za iskorištavanje od 6 posto i dalje je velika. Zamislite da vaša omiljena stolica ima 6 od 100 šansi da se slomi svaki put kad sjednete. Zamijenili biste ga, zar ne?

S internetom nemate iste mogućnosti; nezamjenjiv je. Međutim, poput svoje omiljene stolice, možete je zakrpati i učvrstiti prije nego što postane još veći problem. Pet je važnih stvari koje trebate učiniti da biste rekli sigurni na mreži i izbjegli zlonamjerni softver i druga iskorištavanja:

1. Ažuriraj. Redovito ažurirajte svoj sustav. Ažuriranja su najvažniji način na koji tehnološke tvrtke štite vaše računalo, ispravljajući ranjivosti i druge nedostatke.
2. Antivirus. Na mreži možete čitati stvari poput "više ne trebate antivirus" ili "antivirus je beskoristan". Naravno, napadači se neprestano razvijaju kako bi izbjegli antivirusne programe, ali bez vas biste bili u daleko goroj situaciji ih. Integrirani antivirus u vašem operativnom sustavu izvrsno je polazište, ali zaštitu možete napuniti alatom poput Malwarebytesa.
3. Veze. Ne klikajte ih ako ne znate kamo idu. Možeš pregledati sumnjivu vezu pomoću ugrađenih alata vašeg preglednika.
4. Zaporka. Učinite ga jakim, učinite ga jedinstvenim i nikada ga nemojte ponovno koristiti. Međutim, pamćenje svih tih lozinki je teško - nitko se ne bi protivio tome. Zato bi trebao provjerite upravitelj lozinki alat koji će vam pomoći da se sjetite i bolje zaštitite svoje račune.
5. Prijevare. Na internetu ima puno prevara. Ako se čini predobro da bi bilo istina, vjerojatno jest. Kriminalci i prevaranti vješti su u stvaranju swish web stranica s uglačanim dijelovima kako bi vas proslavili kroz prevaru, a da toga ne slute. Ne vjerujte svemu što čitate na mreži.

Zaštita na mreži ne mora biti posao s punim radnim vremenom i ne morate se brinuti svaki put kad pokrenete računalo. Poduzimanje nekoliko sigurnosnih koraka drastično će poboljšati vašu mrežnu sigurnost.

Koji je princip najmanje privilegija i kako može spriječiti cyberatkacks?

Koliko je pristup previše? Doznajte o načelu najmanje privilegiranosti i kako to može pomoći u izbjegavanju nepredviđenih kibernapada.

O autoru