Kasmet saugos ir technologijų įmonės skelbia išsamią informaciją apie tūkstančius pažeidžiamumų. Žiniasklaida tinkamai praneša apie šias spragas, išskirdama pavojingiausias problemas ir patardama vartotojams, kaip išlikti saugiems.

Bet kas, jei aš tau pasakyčiau, kad iš tų tūkstančių pažeidžiamumų nedaugelis yra aktyviai naudojami laukinėje gamtoje?

Taigi, kiek yra saugumo spragų, ir ar saugos kompanijos nusprendžia, koks blogas yra pažeidžiamumas?

Kiek yra saugumo spragų?

„Kenna Security“ Prioritetas pagal prognozavimo ataskaitų seriją nustatė, kad 2019 m. saugos įmonės paskelbė daugiau nei 18 000 CVE („Common Vulnerlights and Exposures“).

Nors šis skaičius skamba aukštai, ataskaitoje taip pat nustatyta, kad iš tų 18 000 pažeidžiamumų tik 473 „plačiai išnaudojo“, tai yra maždaug 6 procentai viso. Nors šios spragos iš tikrųjų buvo išnaudojamos visame internete, tai nereiškia, kad kiekvienas įsilaužėlis ir užpuolikas visame pasaulyje jas naudojo.

Be to, „išnaudojimo kodas jau buvo prieinamas> 50% pažeidžiamumų, kol jie paskelbė CVE sąrašas. "Tai, kad išnaudojimo kodas jau buvo prieinamas, skamba nerimą keliančia nominalia verte, ir tai yra sutrikimas. Tačiau tai taip pat reiškia, kad saugumo tyrėjai jau dirba taisydami šią problemą.

instagram viewer

Įprasta praktika yra pataisyti pažeidžiamumus per 30 dienų publikavimo langą. Tai ne visada atsitinka, tačiau dauguma technologijų kompanijų stengiasi tai padaryti.

Žemiau pateiktoje diagramoje dar labiau parodytas neatitikimas tarp praneštų CVE ir faktiškai išnaudotų skaičių.

Maždaug 75 procentus CVE aptinka mažiau nei 1 iš 11 000 organizacijų ir tik 5,9 proc. CVE aptinka 1 iš 100 organizacijų. Tai gana plitimas.

Pirmiau nurodytus duomenis ir skaičius galite rasti „Prioritetų nustatymas pagal nuspėjimą“ 6 tomas: „Attacker-Defender Divide“.

Kas priskiria CVE?

Jums gali kilti klausimas, kas pirmiausia paskiria ir sukuria CVE. CVE priskirti gali ne bet kas. Šiuo metu yra 153 organizacijos iš 25 šalių, turinčios leidimą priskirti CVE.

Tai nereiškia, kad tik šios įmonės ir organizacijos yra atsakingos už saugumo tyrimus visame pasaulyje. Tiesą sakant, toli gražu ne. Tai reiškia, kad šios 153 organizacijos (žinomos kaip CVE numeravimo tarnybos arba trumpiau CNA) dirba pagal sutartą standartą dėl pažeidžiamumo išleidimo į viešąją erdvę.

Tai savanoriška pozicija. Dalyvaujančios organizacijos turi įrodyti „sugebėjimą kontroliuoti pažeidžiamumo atskleidimą informacija iš anksto neskelbiant ", taip pat bendradarbiauti su kitais tyrėjais, kurie reikalauja informacijos apie pažeidžiamumas.

Yra trys pagrindinės CNA, kurios yra hierarchijos viršuje:

  • MITER korporacija
  • Kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA) pramoninės kontrolės sistemos (ICS)
  • JPCERT / CC

Visos kitos CNA atsiskaito vienai iš šių trijų aukščiausio lygio institucijų. Daugiausia ataskaitas teikiančios CNA yra technologijų kompanijos ir aparatūros kūrėjai bei pardavėjai, turintys vardų atpažinimo funkciją, tokie kaip „Microsoft“, AMD, „Intel“, „Cisco“, „Apple“, „Qualcomm“ ir kt. Visą CNA sąrašą galite rasti svetainėje MITER svetainė.

Pranešimas apie pažeidžiamumą

Pažeidžiamumo ataskaitas taip pat apibrėžia programinės įrangos tipas ir platforma, kurioje yra pažeidžiamumas. Tai priklauso ir nuo to, kas iš pradžių jį randa.

Pvz., Jei saugos tyrėjas randa pažeidžiamumą kokioje nors patentuotoje programinėje įrangoje, jis greičiausiai apie tai praneš tiesiogiai pardavėjui. Arba, jei pažeidžiamumas randamas atviro kodo programoje, tyrėjas gali atidaryti naują problemą projekto ataskaitų teikimo arba problemų puslapyje.

Tačiau jei kenksmingas asmuo pirmiausia ras pažeidžiamumą, jis gali jo neatskleisti atitinkamam pardavėjui. Kai taip atsitiks, saugumo tyrėjai ir pardavėjai gali nežinoti apie pažeidžiamumą, kol jis nebus naudojamas kaip nulinės dienos išnaudojimas.

Kaip saugos įmonės vertina CVE?

Kitas aspektas yra tai, kaip saugos ir technologijų įmonės vertina CVE.

Saugumo tyrėjas ne tik ištraukia skaičių iš oro ir priskiria jį naujai atrastam pažeidžiamumui. Yra sukurta balų sistema, kuri vadovaujasi pažeidžiamumo vertinimu: „Common Vulnerability Scoring System“ (CVSS).

CVSS skalė yra tokia:

Sunkumas Bazinis rezultatas
Nė vienas 0
Žemas 0.1-3.9
Vidutinis 4.0-6.9
Aukštas 7.0-8.9
Kritinis 9.0-10.0

Norėdami išsiaiškinti pažeidžiamumo CVSS vertę, mokslininkai analizuoja kintamųjų seriją, apimančią bazinio balo metriką, laikino balo metriką ir aplinkos balo metriką.

  • Bazinio balo metrika apimti tokius dalykus kaip pažeidžiamumas, išpuolio sudėtingumas, reikalingos privilegijos ir pažeidžiamumo apimtis.
  • Laikino balo metrika apimti tokius aspektus, kaip brandus eksploatacijos kodas, jei yra ištaisymo išnaudojimui, ir pasitikėjimas pranešant apie pažeidžiamumą.
  • Aplinkos balų metrika spręsti kelias sritis:
    • Išnaudojimo metrika: Apima atakos vektorių, atakos sudėtingumą, privilegijas, vartotojo sąveikos reikalavimus ir apimtį.
    • Poveikio metrika: Poveikio konfidencialumui, vientisumui ir prieinamumui aprašymas.
    • Poveikio pokytis: Poveikio metrikoje pridedamas papildomas apibrėžimas, apimantis konfidencialumo, vientisumo ir prieinamumo reikalavimus.

Dabar, jei visa tai atrodo šiek tiek painu, apsvarstykite du dalykus. Pirma, tai yra trečioji CVSS skalės iteracija. Iš pradžių jis prasidėjo nuo bazinio balo, o vėliau pridėjus tolesnę metriką vėlesniuose taisymuose. Dabartinė versija yra CVSS 3.1.

Antra, norėdami geriau suprasti, kaip CVSS apibūdina balus, galite naudoti Nacionalinė pažeidžiamumų duomenų bazė CVSS skaičiuoklė norėdami pamatyti, kaip sąveikauja pažeidžiamumo metrika.

Neabejotina, kad vertinti pažeidžiamumą „iš akies“ būtų nepaprastai sunku, todėl tokia skaičiuoklė padeda gauti tikslų rezultatą.

Būkite saugūs internete

Nors „Kenna Security“ ataskaita rodo, kad tik nedidelė dalis praneštų pažeidžiamumų tampa rimta grėsme, 6 proc. Išnaudojimo tikimybė vis dar yra didelė. Įsivaizduokite, jei jūsų mėgstamiausia kėdė turėtų galimybę sulaužyti 6 iš 100 kiekvieną kartą, kai atsisėdate. Jūs jį pakeistumėte, tiesa?

Jūs neturite tų pačių galimybių su internetu; tai nepakeičiama. Tačiau, kaip ir jūsų mėgstamą kėdę, galite ją užklijuoti ir pritvirtinti, kol ji netaps dar didesne problema. Norint pasakyti apie saugumą internete ir išvengti kenkėjiškų programų bei kitų išnaudojimų, reikia atlikti penkis svarbius dalykus.

  1. Atnaujinti. Nuolat atnaujinkite savo sistemą. Atnaujinimai yra vienas iš būdų, kaip technologijų kompanijos saugo jūsų kompiuterį, užtaiso pažeidžiamumus ir kitus trūkumus.
  2. Antivirusas. Galite perskaityti tokius dalykus internete kaip „jums nebereikia antivirusinės programos“ arba „antivirusinė programa nenaudinga“. Žinoma, užpuolikai nuolat tobulėja, kad išvengtų antivirusinių programų, tačiau be jūsų būtumėte kur kas blogesnėje situacijoje juos. Operacinėje sistemoje integruota antivirusinė programa yra puikus atspirties taškas, tačiau galite apsaugoti savo apsaugą naudodami tokį įrankį kaip „Malwarebytes“.
  3. Nuorodos. Nespauskite jų, nebent žinote, kur jie eina. Tu gali patikrinti įtartiną nuorodą naudodamiesi naršyklės įmontuotais įrankiais.
  4. Slaptažodis. Padarykite jį stipriu, unikaliu ir niekada nenaudokite daugiau. Tačiau prisiminti visus tuos slaptažodžius sunku - niekas prieštarautų. Štai kodėl turėtumėte patikrinkite slaptažodžių tvarkytuvę įrankis, kuris padės prisiminti ir geriau apsaugoti savo sąskaitas.
  5. Aferos. Internete yra daug sukčių. Jei atrodo per gerai, kad būtų tiesa, tikriausiai yra. Nusikaltėliai ir sukčiai puikiai moka kurti internetines svetaines su šlifuotomis dalimis, kad suprastų jus per aferą to nesuprasdami. Netikėkite viskuo, ką skaitote internete.

Saugumas internete nebūtinai turi būti visą darbo dieną, todėl jums nereikia jaudintis kiekvieną kartą, kai įjungiate kompiuterį. Atlikę kelis saugumo veiksmus smarkiai padidinsite savo interneto saugumą.

El
Koks yra mažiausios privilegijos principas ir kaip tai gali užkirsti kelią kibernetinėms atakoms?

Kiek prieigos yra per daug? Sužinokite apie mažiausios privilegijos principą ir kaip tai gali padėti išvengti nenumatytų kibernetinių atakų.

Susijusios temos
  • Paaiškinta technologija
  • Saugumas
  • Aferos
  • Internetinis saugumas
  • Antivirusas
  • Kenkėjiška programa
  • Galinės durys
Apie autorių
Gavinas Phillipsas (Paskelbti 742 straipsniai)

Gavinas yra „Windows“ ir „Technology Explained“ jaunesnysis redaktorius, nuolatinis „Really Useful Podcast“ bendradarbis. Jis buvo „MakeUseOf“ į šifravimą orientuotos sesers svetainės „Blocks Decoded“ redaktorius. Jis turi šiuolaikinio BA („Hons“) rašymą su skaitmeninio meno praktikomis, apiplėštomis nuo Devono kalvų, taip pat daugiau nei dešimtmetį profesionalios rašymo patirties. Jis mėgaujasi gausiu kiekiu arbatos, stalo žaidimų ir futbolo.

Daugiau iš Gavino Phillipso

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kuriame rasite techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Dar vienas žingsnis…!

Prašome patvirtinti savo el. Pašto adresą el. Laiške, kurį jums ką tik išsiuntėme.

.