Cik daudz ir drošības ievainojamību un kā tās tiek novērtētas?

Katru gadu drošības un tehnoloģiju uzņēmumi publicē informāciju par tūkstošiem ievainojamību. Plašsaziņas līdzekļi pienācīgi ziņo par šīm ievainojamībām, uzsverot visbīstamākos jautājumus un konsultējot lietotājus par to, kā saglabāt drošību.

Bet kā būtu, ja es jums teiktu, ka no šiem tūkstošiem ievainojamību maz tiek aktīvi izmantoti savvaļā?

Tātad, cik ir drošības ievainojamību, un vai drošības uzņēmumi izlemj, cik slikta ir ievainojamība?

Cik ir drošības ievainojamību?

Kenna Security's Prioritāšu noteikšana prognozēšanas ziņojumu sērijai konstatēja, ka 2019. gadā apsardzes uzņēmumi publicēja vairāk nekā 18 000 CVE (Common Vulnerability and Exposures).

Lai gan šis skaitlis izklausās augsts, ziņojumā arī konstatēts, ka no šīm 18 000 ievainojamībām tikai 473 "ir plaši izmantotas", kas ir aptuveni 6 procenti no kopējā skaita. Lai gan šīs ievainojamības patiešām tika izmantotas visā internetā, tas nenozīmē, ka visi hakeri un uzbrucēji visā pasaulē tos izmantoja.

Turklāt "izmantošanas kods jau bija pieejams> 50% ievainojamību laikā, kad viņi publicēja vietni "Tas, ka izmantošanas kods jau bija pieejams, pēc nominālvērtības izklausās satraucoši, un tas ir izdevums. Tomēr tas nozīmē arī to, ka drošības pētnieki jau strādā pie jautājuma lāpīšanas.

Vispārējā prakse ir ievainojumu ievainošana 30 dienu publikācijas laikā. Tas ne vienmēr notiek, bet lielākā daļa tehnoloģiju uzņēmumu strādā pie tā.

Zemāk redzamā diagramma vēl vairāk parāda neatbilstību starp ziņoto CVE un faktiski izmantoto skaitu.

Aptuveni 75 procentus CVE atklāj mazāk nekā 1 no 11 000 organizācijām un tikai 5,9 procentus CVE atklāj 1 no 100 organizācijām. Tas ir diezgan izplatīts.

Iepriekš minētos datus un skaitļus varat atrast sadaļā Prioritāri prognozēšanai, 6. sējums: Attacker-Defender Divide

Kas piešķir CVE?

Jums varētu būt jautājums, kurš vispirms piešķir un izveido CVE. CVE var piešķirt ne katrs. Pašlaik ir 153 organizācijas no 25 valstīm, kurām ir atļauts piešķirt CVE.

Tas nenozīmē, ka tikai šie uzņēmumi un organizācijas ir atbildīgas par drošības izpēti visā pasaulē. Patiesībā tālu no tā. Tas nozīmē, ka šīs 153 organizācijas (pazīstamas kā CVE numerācijas iestādes vai saīsināti CNA) strādā saskaņā ar saskaņotu standartu ievainojamību izlaišanai publiskajā telpā.

Tā ir brīvprātīga nostāja. Iesaistītajām organizācijām jāpierāda "spēja kontrolēt ievainojamības atklāšanu informācija bez iepriekšējas publicēšanas ", kā arī sadarboties ar citiem pētniekiem, kuri pieprasa informāciju par ievainojamības.

Hierarhijas augšdaļā ir trīs galvenās CNA:

• MITER korporācija
• Kiberdrošības un infrastruktūras drošības aģentūras (CISA) rūpnieciskās vadības sistēmas (ICS)
• JPCERT / CC

Visi pārējie CNA ziņo vienai no šīm trim augstākā līmeņa iestādēm. Pārskata CNA pārsvarā ir tehnoloģiju uzņēmumi un aparatūras izstrādātāji un pārdevēji ar nosaukumu atpazīšanu, piemēram, Microsoft, AMD, Intel, Cisco, Apple, Qualcomm un tā tālāk. Pilns CNA saraksts ir pieejams vietnē MITER vietne.

Ziņošana par ievainojamību

Ziņošanu par ievainojamību nosaka arī programmatūras veids un platforma, kurā tiek konstatēta ievainojamība. Tas ir atkarīgs arī no tā, kurš to sākotnēji atrod.

Piemēram, ja drošības pētnieks atklāj ievainojamību kādā patentētā programmatūrā, visticamāk, viņš par to ziņos tieši pārdevējam. Alternatīvi, ja ievainojamība tiek atklāta atvērtā koda programmā, pētnieks var atvērt jaunu problēmu projekta pārskatu vai problēmu lapā.

Tomēr, ja ļaundaram vispirms būtu jāatrod ievainojamība, tā, iespējams, neatklās to attiecīgajam pārdevējam. Kad tas notiks, drošības pētnieki un pārdevēji var neuzzināt par ievainojamību, kamēr tā nav izmanto kā nulles dienas izmantošanu.

Kā drošības firmas vērtē CVE?

Vēl viens apsvērums ir tas, kā drošības un tehnoloģiju uzņēmumi vērtē CVE.

Drošības pētnieks ne tikai izvelk numuru no gaisa un piešķir tam nesen atklātu ievainojamību. Ir izveidota vērtēšanas sistēma, kas vada ievainojamības vērtēšanu: kopējā ievainojamības vērtēšanas sistēma (CVSS).

CVSS skala ir šāda:

Smagums	Bāzes rādītājs
Nav	0
Zems	0.1-3.9
Vidējs	4.0-6.9
Augsts	7.0-8.9
Kritisks	9.0-10.0

Lai noskaidrotu ievainojamības CVSS vērtību, pētnieki analizē mainīgo lielumu sēriju, kas aptver bāzes rādītāju metriku, pagaidu rādītāju metriku un vides rādītāju metriku.

• Bāzes rādītāju metrika aptveriet, piemēram, ievainojamības izmantojamību, uzbrukuma sarežģītību, nepieciešamās privilēģijas un ievainojamības jomu.
• Laika rādītāju metrika aptver tādus aspektus kā, piemēram, tas, cik nobriedis ir izmantošanas kods, ja ir izlabošana attiecībā uz ekspluatāciju, un pārliecība par ziņošanu par ievainojamību.
• Vides rādītāju metrika nodarbojas ar vairākām jomām:
  • Izmantojamības metrika: Pārklāj uzbrukuma vektoru, uzbrukuma sarežģītību, privilēģijas, lietotāja mijiedarbības prasības un darbības jomu.
  • Ietekmes metrika: Ietekme uz konfidencialitāti, integritāti un pieejamību.
  • Ietekmes apakšrādītājs: Ietekmes metrikai tiek pievienota papildu definīcija, kas ietver konfidencialitātes prasības, integritātes prasības un pieejamības prasības.

Tagad, ja tas viss izklausās nedaudz mulsinoši, apsveriet divas lietas. Pirmkārt, šī ir trešā CVSS skalas atkārtošana. Sākotnēji tas sākās ar bāzes rādītāju, pirms vēlākos pārskatījumos pievienoja sekojošus rādītājus. Pašreizējā versija ir CVSS 3.1.

Otrkārt, lai labāk izprastu, kā CVSS apzīmē rādītājus, varat izmantot Nacionālā ievainojamības datu bāze CVSS kalkulators lai redzētu, kā mijiedarbojas ievainojamības metrika.

Nav šaubu, ka ievainojamības novērtēšana "ar aci" būtu ārkārtīgi sarežģīta, tāpēc šāds kalkulators palīdz sasniegt precīzu rezultātu.

Uzturēšanās drošībā tiešsaistē

Kaut arī Kenna Security ziņojums parāda, ka tikai neliela daļa paziņoto ievainojamību kļūst par nopietnu draudu, 6% izmantošanas iespēja joprojām ir augsta. Iedomājieties, vai jūsu iemīļotajam krēslam katru reizi, kad apsēžaties, ir iespēja salauzt 6 pret 100. Jūs to nomainītu, vai ne?

Jums nav tādu pašu iespēju kā internetā; tas ir neaizstājams. Tomēr, tāpat kā savu iecienīto krēslu, jūs varat to salāpīt un nostiprināt, pirms tas kļūst par vēl lielāku problēmu. Ir piecas svarīgas lietas, kas jāpadara drošas tiešsaistē un jāizvairās no ļaunprātīgas programmatūras un cita veida izmantošanas:

1. Atjaunināt. Regulāri atjauniniet sistēmu. Atjauninājumi ir pirmais veids, kā tehnoloģiju uzņēmumi aizsargā jūsu datoru, novēršot ievainojamības un citus trūkumus.
2. Antivīruss. Jūs varētu lasīt tādas lietas tiešsaistē kā "jums vairs nav nepieciešams antivīruss" vai "antivīruss ir bezjēdzīgs". Protams, uzbrucēji pastāvīgi attīstās, lai izvairītos no antivīrusu programmām, taču bez jums jūs būtu daudz sliktākā situācijā tos. Operētājsistēmas integrētais antivīruss ir lielisks sākumpunkts, taču jūs varat izskaust savu aizsardzību ar tādu rīku kā Malwarebytes.
3. Saites. Neklikšķiniet uz tiem, ja vien nezināt, kurp viņi dodas. Jūs varat pārbaudiet aizdomīgu saiti izmantojot pārlūkprogrammas iebūvētos rīkus.
4. Parole. Padariet to spēcīgu, padariet to unikālu un nekad nelietojiet to atkārtoti. Tomēr atcerēties visas šīs paroles ir grūti - neviens pret to nestrīdētos. Tāpēc jums vajadzētu pārbaudiet paroļu pārvaldnieku rīks, kas palīdzēs atcerēties un labāk aizsargāt savus kontus.
5. Izkrāpšana. Internetā ir daudz krāpšanos. Ja tas šķiet pārāk labi, lai būtu patiesība, tā droši vien ir. Noziedznieki un krāpnieki ir prasmīgi, lai izveidotu tīmekļa vietnes ar izsmalcinātām detaļām, lai jūs nemanot to izkrāptu. Neticiet visam, ko lasāt tiešsaistē.

Drošībai tiešsaistē nav jābūt pilna laika darbam, un jums nav jāuztraucas katru reizi, kad tiek dedzināts dators. Veicot dažus drošības pasākumus, jūs ievērojami uzlabosiet tiešsaistes drošību.

Kāds ir vismazākās privilēģijas princips un kā tas var novērst kiberuzbrukumus?

Cik daudz piekļuves ir par daudz? Uzziniet par mazāk privilēģiju principu un to, kā tas var palīdzēt izvairīties no neparedzētiem kiberuzbrukumiem.

Par autoru