Колико сигурносних рањивости постоји и како се процењују?

Сваке године сигурносне и технолошке компаније објављују детаље о хиљадама рањивости. Медији уредно извештавају о тим рањивостима, истичући најопаснија питања и саветујући кориснике како да буду безбедни.

Али шта ако бих вам рекао да се од те хиљаде рањивости мало ко активно користи у дивљини?

Дакле, колико сигурносних рањивости постоји и да ли сигурносне компаније одлучују колико је рањивост лоша?

Колико сигурносних рањивости постоји?

Кенна Сецурити'с Давање приоритета серији извештаја о предвиђањима открили су да су 2019. компаније за обезбеђење објавиле преко 18 000 ЦВЕ (заједничке рањивости и изложености).

Иако та цифра звучи високо, извештај такође открива да је од тих 18.000 рањивости само 473 „достигло широку експлоатацију“, што је око 6 процената од укупног броја. Иако су се ове рањивости заиста искоришћавале путем Интернета, то не значи да су их користили сви хакери и нападачи широм света.

Штавише, „експлоатациони код је већ био доступан за> 50% рањивости до тренутка објављивања на листи ЦВЕ. "Да је експлоатацијски код већ доступан, звучи алармантно у стварности и то је питање. Међутим, то такође значи да истраживачи безбедности већ раде на поправљању проблема.

Уобичајена пракса је да се рањивости закрпе у року од 30 дана од објављивања. То се не дешава увек, али то је оно на чему ради већина технолошких компанија.

Доњи графикон даље илуструје несклад између броја пријављених ЦВЕ и броја стварно искоришћеног.

Открива око 75 посто ЦВЕ мање од 1 на 11 000 организација, а само 5,9 посто ЦВЕ открива 1 од 100 организација. То је прилично ширење.

Горе наведене податке и бројке можете пронаћи у Приоритету за предвиђање том 6: Подјела нападача и браниоца.

Ко додељује ЦВЕ?

Можда се питате ко за почетак додељује и креира ЦВЕ. Не може свако да додели ЦВЕ. Тренутно постоје 153 организације из 25 земаља које су овлашћене да додељују ЦВЕ.

То не значи да су само ове компаније и организације одговорне за безбедносна истраживања широм света. Далеко од тога, заправо. Шта то значи је да ове 153 организације (познате као ЦВЕ нумерација, или скраћено ЦНА) раде према договореном стандарду за пуштање рањивости у јавно власништво.

То је добровољан положај. Организације које учествују морају показати „способност да контролишу откривање рањивости информације без претходног објављивања “, као и за рад са другим истраживачима који захтевају информације о рањивости.

Постоје три коренска ЦНА, која се налазе на врху хијерархије:

• МИТЕР Цорпоратион
• Агенције за интернетску сигурност и сигурност инфраструктуре (ЦИСА), Индустријски контролни системи (ИЦС)
• ЈПЦЕРТ / ЦЦ

Сви остали ЦНА подносе извештаје једној од ове три власти највишег нивоа. ЦНА-ови који извештавају су претежно технолошке компаније и програмери хардвера и добављачи са препознавањем имена, као што су Мицрософт, АМД, Интел, Цисцо, Аппле, Куалцомм итд. Комплетна листа ЦНА доступна је на Веб локација МИТЕР.

Извештавање о рањивости

Извештавање о рањивости такође је дефинисано врстом софтвера и платформом на којој се рањивост налази. Такође зависи од тога ко га у почетку пронађе.

На пример, ако истраживач безбедности пронађе рањивост у неком заштићеном софтверу, вероватно ће је директно пријавити продавцу. Алтернативно, ако се рањивост пронађе у програму отвореног кода, истраживач може отворити ново издање на страници са извештајима о пројектима или проблемима.

Међутим, ако би подла особа прво пронашла рањивост, можда је не би открила дотичном продавцу. Када се то догоди, истраживачи и продавци безбедности можда неће постати свесни рањивости док она не буде откривена користи се као нула-дневни експлоат.

Како заштитарске компаније оцењују ЦВЕ?

Друго разматрање је како сигурносне и технолошке компаније оцјењују ЦВЕ.

Истраживач безбедности не извлачи само број из ваздуха и додељује га новооткривеној рањивости. Постоји систем бодовања који води оцењивање рањивости: Систем заједничког оцењивања рањивости (ЦВСС).

Скала ЦВСС је следећа:

Озбиљност	Основни резултат
Ниједан	0
Ниска	0.1-3.9
Средње	4.0-6.9
Хигх	7.0-8.9
Критичан	9.0-10.0

Да би открили вредност ЦВСС за рањивост, истраживачи анализирају низ променљивих који покривају метрике основног резултата, метрике временског резултата и метрике еколошког резултата.

• Метрике основног резултата покривају ствари попут тога колико је рањивост искористива, сложеност напада, потребне привилегије и опсег рањивости.
• Метрике временског резултата покривају аспекте као што су зрелост експлоатационог кода, ако постоји исправка за експлоатацију, и поверење у извештавање о рањивости.
• Метрике еколошке оцене бавити се са неколико области:
  • Метрика експлоатабилности: Покрива вектор напада, сложеност напада, привилегије, захтеве за интеракцију корисника и опсег.
  • Метрика утицаја: Покрива утицај на поверљивост, интегритет и доступност.
  • Утицај утицаја: Додаје даљу дефиницију метрици утицаја, која покрива захтеве поверљивости, захтеве интегритета и захтеве доступности.

Сада, ако све то звучи помало збуњујуће, размислите о две ствари. Прво, ово је трећа итерација ЦВСС скале. У почетку је започео основном оценом пре него што је додао накнадне показатеље током каснијих ревизија. Тренутна верзија је ЦВСС 3.1.

Друго, да бисте боље разумели како ЦВСС деноминира резултате, можете користити Национална база података о рањивости ЦВСС калкулатор да бисте видели како интеракциони показатељи рањивости.

Нема сумње да би постизање рањивости „на око“ било изузетно тешко, па калкулатор попут овог помаже у постизању прецизних резултата.

Безбедност на мрежи

Иако извештај Кенна Сецурити илуструје да само мали део пријављених рањивости постаје озбиљна претња, шанса за експлоатацију од 6 процената је и даље велика. Замислите да ваша омиљена столица има 6 од 100 шанси да се сломи сваки пут када седнете. Ви бисте га заменили, зар не?

Немате исте могућности са Интернетом; то је незаменљиво. Међутим, као и ваша омиљена столица, можете је закрпати и учврстити пре него што постане још већи проблем. Пет је важних ствари које треба урадити да бисте рекли безбедно на мрежи и избегли злонамерни софтвер и друга искоришћавања:

1. Ажурирање. Редовно ажурирајте систем. Ажурирања су први начин на који технолошке компаније штите ваш рачунар, уклањајући рањивости и друге недостатке.
2. Антивирус. На мрежи можете читати ствари попут „више вам није потребан антивирус“ или „антивирус је бескористан“. Наравно, нападачи непрестано еволуирају како би избегли антивирусне програме, али без њих бисте били у много горој ситуацији њих. Интегрисани антивирус у вашем оперативном систему је сјајна полазна основа, али заштиту можете повећати помоћу алата као што је Малваребитес.
3. Везе. Не кликајте их ако не знате куда иду. Можете прегледати сумњиву везу користећи уграђене алате прегледача.
4. Лозинка. Учините га јаким, учините га јединственим и никада га не користите поново. Међутим, памћење свих тих лозинки је тешко - нико се не би противио томе. Зато би требао проверите менаџер лозинки алат који ће вам помоћи да запамтите и боље заштитите рачуне.
5. Преваре. На интернету има пуно превара. Ако се чини превише добро да би било истина, вероватно јесте. Криминалци и преваранти спретни су у стварању свисх веб страница са углачаним деловима како би вас проследили кроз превару, а да тога не слуте. Не верујте свему што читате на мрежи.

Безбедност на мрежи не мора бити посао са пуним радним временом и не морате да бринете сваки пут када покренете рачунар. Предузимање неколико сигурносних корака драстично ће побољшати вашу мрежну сигурност.

Шта је принцип најмање привилегија и како може спречити цибераткацкс?

Колико је приступ превише? Сазнајте о принципу најмањих привилегија и како то може помоћи у избегавању непредвиђених кибернапада.

О аутору