Kolik bezpečnostních zranitelností existuje a jak jsou hodnoceny?

Bezpečnostní a technologické společnosti každý rok zveřejňují podrobnosti o tisících zranitelných míst. Média o těchto zranitelnostech náležitě informují, upozorňují na nejnebezpečnější problémy a radí uživatelům, jak zůstat v bezpečí.

Ale co kdybych vám řekl, že z těch tisíců zranitelností je jen málo aktivně využíváno ve volné přírodě?

Kolik bezpečnostních zranitelností tedy existuje a rozhodují bezpečnostní společnosti o tom, jak špatná je zranitelnost?

Kolik bezpečnostních chyb existuje?

Kenna Security Upřednostnění řady předpovědních zpráv zjistili, že v roce 2019 zveřejnily bezpečnostní společnosti více než 18 000 CVE (Common Vulnerabilities and Exposures).

I když toto číslo zní vysoko, zpráva také zjistila, že z těchto 18 000 zranitelností pouze 473 „dosáhlo rozšířeného vykořisťování“, což je přibližně 6 procent z celkového počtu. Ačkoli tyto chyby zabezpečení byly skutečně zneužívány na internetu, neznamená to, že je každý hacker a útočník z celého světa používal.

„„ Kód zneužití byl již k dispozici pro> 50% zranitelností v době, kdy byly publikovány seznam CVE. "To, že exploitový kód byl již k dispozici, zní alarmující při nominální hodnotě a je to problém. Znamená to však také, že výzkumníci v oblasti bezpečnosti již pracují na vyřešení problému.

Běžnou praxí je oprava zranitelných míst do 30denního okna publikace. To se ne vždy stane, ale k tomu se většina technologických společností snaží.

Níže uvedený graf dále ilustruje nesoulad mezi počtem hlášených CVE a skutečně využívaným počtem.

Asi 75 procent CVE je detekováno pomocí méně než 1 ze 11 000 organizací a pouze 5,9 procent CVE detekuje 1 ze 100 organizací. To je docela šíření.

Výše uvedená data a čísla najdete v části Upřednostňování předpovědi svazku 6: Rozdíl mezi útočníky a obránci.

Kdo přiřazuje CVE?

Možná vás zajímá, kdo přiřadí a vytvoří CVE. CVE nemůže přiřadit jen kdokoli. V současné době existuje 153 organizací z 25 zemí oprávněných přidělovat CVE.

To neznamená, že pouze tyto společnosti a organizace jsou odpovědné za bezpečnostní výzkum po celém světě. Ve skutečnosti daleko od toho. Znamená to, že těchto 153 organizací (známých jako CVE Numbering Authorities, zkráceně CNA) pracuje na dohodnutém standardu pro uvolňování zranitelných míst do veřejné sféry.

Je to dobrovolná pozice. Zúčastněné organizace musí prokázat „schopnost kontrolovat zveřejňování zranitelnosti informace bez předběžného zveřejnění, “a také spolupracovat s dalšími výzkumnými pracovníky, kteří požadují informace o zranitelnosti.

Existují tři kořenové CNA, které jsou na vrcholu hierarchie:

• MITER Corporation
• Cybersecurity and Infrastructure Security Agency (CISA) Průmyslové kontrolní systémy (ICS)
• JPCERT / CC

Všechny ostatní CNA podléhají jednomu z těchto tří orgánů nejvyšší úrovně. Vykazující CNA jsou převážně technologické společnosti a vývojáři a prodejci hardwaru s rozpoznáváním jmen, jako jsou Microsoft, AMD, Intel, Cisco, Apple, Qualcomm atd. Úplný seznam CNA je k dispozici na internetu Web společnosti MITER.

Hlášení zranitelnosti

Hlášení zranitelnosti je také definováno typem softwaru a platformou, na které se chyba zabezpečení nachází. Záleží také na tom, kdo to zpočátku najde.

Pokud například výzkumník v oblasti zabezpečení zjistí zranitelnost některého proprietárního softwaru, pravděpodobně to nahlásí přímo prodejci. Alternativně, pokud je chyba zabezpečení nalezena v programu s otevřeným zdrojovým kódem, může výzkumník otevřít nový problém na stránce hlášení projektů nebo problémů.

Pokud by však hanebná osoba nejprve našla zranitelnost, nemusí ji prozradit dotyčnému prodejci. Když k tomu dojde, výzkumníci a prodejci zabezpečení si nemusí být vědomi této chyby zabezpečení, dokud k ní nedojde používá se jako zneužití nulového dne.

Jak hodnotí bezpečnostní společnosti CVE?

Další úvahou je, jak bezpečnostní a technické společnosti hodnotí CVE.

Bezpečnostní výzkumník nejen vytáhne číslo ze vzduchu a přiřadí jej nově objevené zranitelnosti. Existuje bodovací rámec, který vede bodování zranitelnosti: Common Vulnerability Scoring System (CVSS).

Stupnice CVSS je následující:

Vážnost	Základní skóre
Žádný	0
Nízký	0.1-3.9
Střední	4.0-6.9
Vysoký	7.0-8.9
Kritický	9.0-10.0

Aby zjistili hodnotu CVSS pro zranitelnost, vědci analyzují řadu proměnných zahrnujících metriky základního skóre, metriky dočasného skóre a metriky environmentálního skóre.

• Metriky základního skóre pokrývají věci, jako je zranitelnost zneužitelná, složitost útoku, požadovaná oprávnění a rozsah této chyby zabezpečení.
• Dočasné metriky skóre pokrývají aspekty, jako je vyspělost kódu zneužití, pokud existuje náprava zneužití, a důvěra ve hlášení chyby zabezpečení.
• Metriky environmentálního skóre zabývat se několika oblastmi:
  • Metriky vykořisťování: Pokrytí vektoru útoku, složitosti útoku, oprávnění, požadavků na interakci uživatele a rozsahu.
  • Metriky dopadu: Pokrývá dopad na důvěrnost, integritu a dostupnost.
  • Impact Subscore: Přidává další definici do Impact Metrics, pokrývající požadavky na důvěrnost, požadavky na integritu a požadavky na dostupnost.

Pokud to teď zní trochu matoucí, zvažte dvě věci. Nejprve se jedná o třetí iteraci stupnice CVSS. Zpočátku to začínalo základním skóre před přidáním dalších metrik během pozdějších revizí. Aktuální verze je CVSS 3.1.

Zadruhé, abyste lépe porozuměli tomu, jak CVSS označuje skóre, můžete použít Kalkulačka CVSS národní databáze zranitelnosti zjistit, jak metriky zranitelnosti interagují.

Není pochyb o tom, že bodování zranitelnosti „okem“ by bylo nesmírně obtížné, takže taková kalkulačka pomáhá dosáhnout přesného skóre.

Zůstat v bezpečí online

I když zpráva Kenna Security ukazuje, že jen malá část hlášených zranitelností se stává vážnou hrozbou, 6% šance na vykořisťování je stále vysoká. Představte si, že vaše oblíbená židle měla šanci na zlomení 6 ze 100 pokaždé, když jste se posadili. Vyměníte to, že?

S internetem nemáte stejné možnosti; je nenahraditelný. Stejně jako vaše oblíbené křeslo jej však můžete opravit a zajistit, než se z něj stane ještě větší problém. Existuje pět důležitých věcí, které lze říci bezpečně online a vyhnout se malwaru a dalším zneužitím:

1. Aktualizace. Udržujte svůj systém aktuální. Aktualizace jsou technologické společnosti číslo jedna, které udržují váš počítač v bezpečí, odstraňují chyby zabezpečení a další chyby.
2. Antivirus. Můžete číst věci online, například „antivirus již nepotřebujete“ nebo „antivirus je k ničemu“. Tak určitě, Útočníci se neustále vyvíjejí, aby se vyhnuli antivirovým programům, ale bez toho byste byli v mnohem horší situaci jim. Integrovaný antivirus ve vašem operačním systému je skvělým výchozím bodem, ale ochranu můžete rozšířit pomocí nástroje, jako je Malwarebytes.
3. Odkazy. Neklikejte na ně, pokud nevíte, kam jdou. Můžeš zkontrolovat podezřelý odkaz pomocí vestavěných nástrojů vašeho prohlížeče.
4. Heslo. Udělejte to silným, udělejte to jedinečným a nikdy to znovu nepoužívejte. Pamatovat si všechna ta hesla je však obtížné - nikdo by proti tomu nic nenamítal. Proto bys měl podívejte se na správce hesel nástroj, který vám pomůže zapamatovat si a lépe zabezpečit vaše účty.
5. Podvody. Na internetu existuje spousta podvodů. Pokud se to zdá být příliš dobré, než aby to byla pravda, pravděpodobně je. Zločinci a podvodníci jsou zběhlí ve vytváření svižných webových stránek s vyleštěnými částmi, které vás podvodem podvedou, aniž by si to uvědomili. Nevěřte všemu, co čtete online.

Zůstat v bezpečí online nemusí být prací na plný úvazek a nemusíte se bát pokaždé, když zapnete počítač. Provedení několika bezpečnostních kroků drasticky zvýší vaše online zabezpečení.

Jaký je princip nejméně privilegovaných osob a jak může zabránit kybernetickým útokům?

Kolik přístupů je příliš mnoho? Zjistěte více o principu nejmenších privilegií a o tom, jak může zabránit nepředvídaným kybernetickým útokům.

O autorovi