În fiecare an, companiile de securitate și tehnologie publică detalii despre mii de vulnerabilități. Mass-media raportează în mod corespunzător despre aceste vulnerabilități, subliniind cele mai periculoase probleme și sfătuind utilizatorii cu privire la modul de păstrare în siguranță.

Dar dacă ți-aș spune că dintre acele mii de vulnerabilități, puțini sunt exploatați activ în sălbăticie?

Deci, câte vulnerabilități de securitate există și companiile de securitate decid cât de rea este o vulnerabilitate?

Câte vulnerabilități de securitate există?

Kenna Security Prioritizarea la seria de rapoarte de predicție a constatat că, în 2019, companiile de securitate au publicat peste 18.000 de CVE (Vulnerabilități și expuneri comune).

Deși această cifră pare ridicată, raportul a constatat, de asemenea, că, din cele 18.000 de vulnerabilități, doar 473 „au ajuns la exploatare pe scară largă”, ceea ce reprezintă aproximativ 6% din total. Deși aceste vulnerabilități erau într-adevăr exploatate pe internet, asta nu înseamnă că fiecare hacker și atacator din întreaga lume le folosea.

instagram viewer

Mai mult, „codul de exploatare era deja disponibil pentru> 50% din vulnerabilități până când au publicat în lista CVE. "Că codul de exploatare era deja disponibil sună alarmant la valoarea nominală și este un problema. Cu toate acestea, înseamnă, de asemenea, că cercetătorii în domeniul securității lucrează deja la remedierea problemei.

Practica obișnuită este de a corela vulnerabilitățile într-o fereastră de 30 de zile de la publicare. Acest lucru nu se întâmplă întotdeauna, dar în acest sens lucrează majoritatea companiilor de tehnologie.

Graficul de mai jos ilustrează în continuare discrepanța dintre numărul de CVE raportate și numărul exploatat efectiv.

Aproximativ 75 la sută din CVE sunt detectate de mai puțin decât 1 din 11.000 de organizații și doar 5,9% din CVE sunt detectate de 1 din 100 de organizații. Este destul de răspândit.

Puteți găsi datele și cifrele de mai sus în Prioritization to Prediction Volume 6: The Attacker-Defender Divide.

Cine atribuie CVE-uri?

S-ar putea să vă întrebați cine atribuie și creează un CVE pentru început. Nu oricine poate atribui un CVE. În prezent, există 153 de organizații din 25 de țări autorizate să atribuie CVE.

Asta nu înseamnă că doar aceste companii și organizații sunt responsabile pentru cercetarea securității în întreaga lume. De departe, de fapt. Ceea ce înseamnă este că aceste 153 de organizații (cunoscute sub numele de CVE Numbering Authorities sau CNAs pe scurt) funcționează conform unui standard convenit pentru eliberarea vulnerabilităților în domeniul public.

Este o poziție voluntară. Organizațiile participante trebuie să demonstreze „capacitatea de a controla dezvăluirea vulnerabilității informații fără publicare prealabilă ", precum și pentru a lucra cu alți cercetători care solicită informații despre vulnerabilități.

Există trei CNA-uri Root, care se află în partea de sus a ierarhiei:

  • MITRE Corporation
  • Agenția de securitate cibernetică și securitatea infrastructurii (CISA) Sisteme de control industrial (ICS)
  • JPCERT / CC

Toate celelalte CNA raportează uneia dintre aceste trei autorități de nivel superior. CNA-urile de raportare sunt în principal companii de tehnologie și dezvoltatori și furnizori de hardware cu recunoaștere a numelui, cum ar fi Microsoft, AMD, Intel, Cisco, Apple, Qualcomm și așa mai departe. Lista completă a CNA este disponibilă pe Site-ul MITRE.

Raportarea vulnerabilității

Raportarea vulnerabilității este definită și de tipul de software și de platforma pe care se găsește vulnerabilitatea. Depinde și de cine îl găsește inițial.

De exemplu, dacă un cercetător de securitate găsește o vulnerabilitate în unele software-uri proprietare, este probabil să o raporteze direct furnizorului. Alternativ, dacă vulnerabilitatea se găsește într-un program open-source, cercetătorul ar putea deschide o nouă problemă pe raportarea proiectului sau pagina problemelor.

Cu toate acestea, dacă o persoană nefastă va găsi mai întâi vulnerabilitatea, s-ar putea să nu o dezvăluie furnizorului în cauză. Atunci când se întâmplă acest lucru, cercetătorii și furnizorii de securitate ar putea să nu devină conștienți de vulnerabilitate până când nu este folosit ca exploatare de zero zile.

Cum evaluează companiile de securitate CVE-urile?

O altă considerație este modul în care companiile de securitate și tehnologie evaluează CVE-urile.

Cercetătorul de securitate nu doar scoate un număr din aer și îl atribuie unei vulnerabilități nou descoperite. Există un cadru de notare care ghidează notarea vulnerabilității: Sistemul comun de notare a vulnerabilităților (CVSS).

Scala CVSS este următoarea:

Severitate Scorul de bază
Nici unul 0
Scăzut 0.1-3.9
Mediu 4.0-6.9
Înalt 7.0-8.9
Critic 9.0-10.0

Pentru a afla valoarea CVSS pentru o vulnerabilitate, cercetătorii analizează o serie de variabile care acoperă metricele scorului de bază, valorile scorului temporal și valorile scorului de mediu.

  • Valori de scor de bază acoperă lucruri cum ar fi cât de vulnerabilă este vulnerabilitatea, complexitatea atacului, privilegiile necesare și sfera vulnerabilității.
  • Valori ale scorului temporal acoperă aspecte precum maturitatea codului de exploatare, dacă există remediere pentru exploatare și încrederea în raportarea vulnerabilității.
  • Valori de scor mediu să se ocupe de mai multe domenii:
    • Valori de exploatare: Acoperirea vectorului de atac, a complexității atacului, a privilegiilor, a cerințelor de interacțiune cu utilizatorii și a domeniului de aplicare.
    • Valori de impact: Acoperirea impactului asupra confidențialității, integrității și disponibilității.
    • Impact Subscore: Adaugă o definiție suplimentară la Impact Metrics, acoperind cerințele de confidențialitate, cerințele de integritate și cerințele de disponibilitate.

Acum, dacă totul sună puțin confuz, ia în considerare două lucruri. În primul rând, aceasta este a treia iterație a scalei CVSS. A început inițial cu Scorul de bază înainte de a adăuga valorile ulterioare în timpul reviziilor ulterioare. Versiunea actuală este CVSS 3.1.

În al doilea rând, pentru a înțelege mai bine cum CVSS numește scoruri, puteți utiliza Calculator CVSS bazei de date naționale pentru vulnerabilități pentru a vedea cum interacționează valorile vulnerabilității.

Nu există nicio îndoială că marcarea unei vulnerabilități „cu ochii” ar fi extrem de dificilă, așa că un calculator de acest gen ajută la obținerea unui scor precis.

Rămâneți în siguranță online

Chiar dacă raportul Kenna Security ilustrează că doar o mică parte din vulnerabilitățile raportate devin o amenințare serioasă, șansele de exploatare de 6% sunt încă mari. Imaginați-vă dacă scaunul dvs. preferat avea șanse de 6 la 100 să se rupă de fiecare dată când vă așezați. L-ai înlocui, nu?

Nu aveți aceleași opțiuni cu internetul; este de neînlocuit. Cu toate acestea, la fel ca scaunul preferat, îl puteți fixa și securiza înainte de a deveni o problemă și mai mare. Există cinci lucruri importante de făcut pentru a spune în siguranță online și pentru a evita malware-ul și alte exploit-uri:

  1. Actualizați. Ține-ți sistemul actualizat. Actualizările sunt principalul mod în care companiile tehnologice vă păstrează computerul în siguranță, remediază vulnerabilitățile și alte defecte.
  2. Antivirus. S-ar putea să citiți lucruri online precum „nu mai aveți nevoie de un antivirus” sau „antivirusul este inutil”. Sigur, atacatorii evoluează în mod constant pentru a se sustrage programelor antivirus, dar fără ați fi într-o situație mult mai proastă lor. Antivirusul integrat din sistemul dvs. de operare este un punct de plecare excelent, dar vă puteți extinde protecția cu un instrument precum Malwarebytes.
  3. Link-uri. Nu faceți clic pe ele decât dacă știți încotro se îndreaptă. Poti inspectați un link suspect folosind instrumentele încorporate ale browserului.
  4. Parola. Fă-l puternic, fă-l unic și nu-l refolosi niciodată. Cu toate acestea, amintirea tuturor acelor parole este dificilă - nimeni nu ar argumenta împotriva acestui lucru. De aceea ar trebui verificați un manager de parole instrument care vă ajută să vă amintiți și să vă securizați mai bine conturile.
  5. Escrocherii. Există o mulțime de escrocherii pe internet. Dacă pare prea bine să fie adevărat, probabil că este. Infractorii și escrocii sunt abili în crearea de site-uri web swish cu piese lustruite pentru a vă păcăli printr-o înșelătorie fără să-și dea seama. Nu credeți tot ce citiți online.

A rămâne în siguranță online nu trebuie să fie o slujbă cu normă întreagă și nu trebuie să vă faceți griji de fiecare dată când aprindeți computerul. Luarea câtorva pași de securitate vă va spori drastic securitatea online.

E-mail
Care este principiul celui mai mic privilegiu și cum poate preveni atacurile cibernetice?

Cât de mult acces este prea mult? Aflați despre principiul celui mai mic privilegiu și despre cum poate ajuta la evitarea atacurilor cibernetice neprevăzute.

Subiecte asemănătoare
  • Tehnologie explicată
  • Securitate
  • Escrocherii
  • Securitate online
  • Antivirus
  • Programe malware
  • Ușa din spate
Despre autor
Gavin Phillips (742 articole publicate)

Gavin este Junior Editor pentru Windows și Technology Explained, un colaborator obișnuit la Podcast-ul cu adevărat util și a fost editor pentru site-ul suror al lui MakeUseOf, Blocks Decoded. Are un BA (Hons) Scriere contemporană cu practici de artă digitală jefuit de pe dealurile din Devon, precum și peste un deceniu de experiență scrisă profesională. Îi place cantități abundente de ceai, jocuri de societate și fotbal.

Mai multe de la Gavin Phillips

Aboneaza-te la newsletter-ul nostru

Alăturați-vă newsletter-ului pentru sfaturi tehnice, recenzii, cărți electronice gratuite și oferte exclusive!

Încă un pas…!

Vă rugăm să confirmați adresa de e-mail în e-mailul pe care tocmai vi l-am trimis.

.