Всяка година компаниите за сигурност и технологии публикуват подробности за хиляди уязвимости. Медиите надлежно съобщават за тези уязвимости, като изтъкват най-опасните проблеми и съветват потребителите как да бъдат в безопасност.
Но какво, ако ви кажа, че от тези хиляди уязвимости, малцина са активно експлоатирани в дивата природа?
И така, колко уязвимости има и дали компаниите за сигурност решават колко лоша е уязвимостта?
Колко уязвимости в сигурността има?
Kenna Security's Приоритизиране на поредицата от доклади за прогнози установи, че през 2019 г. охранителни компании са публикували над 18 000 CVE (Общи уязвимости и експозиции).
Докато тази цифра звучи високо, докладът също така установява, че от тези 18 000 уязвимости само 473 „са достигнали до широко разпространена експлоатация“, което е около 6 процента от общата. Въпреки че тези уязвимости наистина се използват в интернет, това не означава, че всеки хакер и нападател по света ги е използвал.
Освен това „експлойт кодът вече е бил достъпен за> 50% от уязвимостите към момента, в който са публикувани списъка с CVE. "Това, че експлойт кодът вече е наличен, звучи тревожно по номинал и е проблем. Това обаче означава също, че изследователите по сигурността вече работят по отстраняването на проблема.
Обичайната практика е да се коригират уязвимости в рамките на 30-дневен период на публикуване. Това не винаги се случва, но за това работят повечето технологични компании.
Графиката по-долу илюстрира несъответствието между броя на докладваните CVE и реално използвания брой.
Около 75 процента от CVE се откриват от по-малко от 1 на 11 000 организации и само 5,9 процента от CVE се откриват от 1 на 100 организации. Това е доста разпространението.
Можете да намерите горните данни и цифри в Приоритизиране към прогноза том 6: Разделянето между атакуващ и защитник.
Кой възлага CVE?
Може би се чудите кой за начало задава и създава CVE. Не само всеки може да назначи CVE. В момента има 153 организации от 25 държави, упълномощени да възлагат CVE.
Това не означава, че само тези компании и организации отговарят за изследванията на сигурността по целия свят. Всъщност далеч от това. Това означава, че тези 153 организации (известни като CVE номерационни органи или накратко CNA) работят по съгласуван стандарт за освобождаване на уязвимости в публичното пространство.
Това е доброволна позиция. Участващите организации трябва да демонстрират „способността да контролират разкриването на уязвимост информация без предварително публикуване ", както и за работа с други изследователи, които искат информация за уязвимости.
Има три коренни CNA, които се намират на върха на йерархията:
- MITER Corporation
- Агенция за киберсигурност и сигурност на инфраструктурата (CISA) Индустриални системи за контрол (ICS)
- JPCERT / CC
Всички останали CNA се отчитат пред един от тези три органа от най-високо ниво. Отчитащите CNA са предимно технологични компании и разработчици на хардуер и доставчици с разпознаване на имена, като Microsoft, AMD, Intel, Cisco, Apple, Qualcomm и т.н. Пълният списък на CNA е достъпен на Уебсайт на MITER.
Отчитане на уязвимости
Отчитането на уязвимостта също се определя от вида на софтуера и платформата, на която се намира уязвимостта. Зависи и кой първоначално го намира.
Например, ако изследовател по сигурността открие уязвимост в някакъв патентован софтуер, вероятно ще докладва директно на продавача. Като алтернатива, ако уязвимостта бъде открита в програма с отворен код, изследователят може да отвори нов проблем на страницата за отчитане на проекта или проблеми.
Ако обаче нечестиво лице първо открие уязвимостта, може да не я разкрие на въпросния доставчик. Когато това се случи, изследователите и доставчиците на сигурност може да не разберат за уязвимостта, докато тя не стане използва се като експлойт с нулев ден.
Как компаниите за сигурност оценяват CVE?
Друго съображение е как компаниите за сигурност и технологии оценяват CVE.
Изследователят по сигурността не просто изважда номер от въздуха и го присвоява на новооткрита уязвимост. Налице е рамка за оценяване, която ръководи оценяването на уязвимостите: Общата система за оценка на уязвимостта (CVSS).
Скалата на CVSS е както следва:
Тежест | Базов резултат |
---|---|
Нито един | 0 |
Ниска | 0.1-3.9 |
Среден | 4.0-6.9 |
Високо | 7.0-8.9 |
Критично | 9.0-10.0 |
За да разберат стойността на CVSS за уязвимост, изследователите анализират поредица от променливи, обхващащи показатели за базов резултат, метрики за времеви оценки и показатели за екологичен резултат
- Показатели за базов резултат обхващат неща като това колко уязвима е уязвимостта, сложността на атаката, необходимите привилегии и обхвата на уязвимостта.
- Показатели за времеви резултат обхващат аспекти като колко зрял е експлойт кодът, ако съществува отстраняване на експлоата, и доверието в докладването на уязвимостта.
-
Показатели за оценка на околната среда справят се с няколко области:
- Показатели за експлоатация: Покрива вектора на атаката, сложността на атаката, привилегиите, изискванията за взаимодействие с потребителя и обхвата.
- Показатели за въздействие: Покриване на въздействието върху поверителността, целостта и наличността.
- Въздействащ подрезултат: Добавя допълнителна дефиниция към показателите за въздействие, обхващаща изисквания за поверителност, изисквания за целостта и изисквания за наличност.
Сега, ако всичко това звучи малко объркващо, помислете за две неща. Първо, това е третата итерация на скалата CVSS. Първоначално започна с базовия резултат, преди да добави следващите показатели по време на по-късни ревизии. Текущата версия е CVSS 3.1.
Второ, за да разберете по-добре как CVSS деноминира резултатите, можете да използвате Национална база данни за уязвимости CVSS калкулатор за да видите как взаимодействат показателите за уязвимост.
Няма съмнение, че оценяването на уязвимост „на око“ би било изключително трудно, така че калкулатор като този помага да се получи точен резултат.
Поддържане на безопасност онлайн
Въпреки че докладът на Kenna Security илюстрира, че само малка част от докладваните уязвимости се превръщат в сериозна заплаха, 6% шанс за експлоатация все още е висок. Представете си, ако вашият любим стол има шанс 6 на 100 да се счупи всеки път, когато седнете. Бихте го заменили, нали?
Нямате същите опции с интернет; това е незаменимо. Въпреки това, подобно на любимия си стол, можете да го закърпите и закрепите, преди да стане още по-голям проблем. Има пет важни неща, които трябва да направите, за да кажете безопасно онлайн и да избегнете злонамерен софтуер и други подвизи:
- Актуализиране. Поддържайте системата си актуална. Актуализациите са най-важният начин технологичните компании да пазят компютъра ви в безопасност, като отстраняват уязвимости и други недостатъци.
- Антивирус. Може да четете неща онлайн, като „вече не се нуждаете от антивирус“ или „антивирусът е безполезен“. Сигурен, нападателите непрекъснато се развиват, за да избегнат антивирусни програми, но без това бихте били в много по-лоша ситуация тях. Интегрираният антивирус във вашата операционна система е чудесна отправна точка, но можете да разширите защитата си с инструмент като Malwarebytes.
- Връзки. Не щракайте върху тях, освен ако не знаете къде отиват. Можеш инспектирайте подозрителна връзка с помощта на вградените инструменти на вашия браузър.
- Парола. Направете го силен, направете го уникален и никога не го използвайте повторно. Запомнянето на всички тези пароли обаче е трудно - никой не би спорил срещу това. Ето защо трябва вижте мениджъра на пароли инструмент, който да ви помогне да запомните и да защитите по-добре акаунтите си.
- Измами. В интернет има много измами. Ако изглежда твърде добре, за да е истина, вероятно е така. Престъпниците и измамниците са вещи в създаването на swish уебсайтове с излъскани части, за да ви подхвърлят чрез измама, без да осъзнават. Не вярвайте на всичко, което четете онлайн.
Поддържането на безопасност онлайн не трябва да бъде работа на пълен работен ден и не е нужно да се притеснявате всеки път, когато запалите компютъра си. Предприемането на няколко стъпки за сигурност драстично ще повиши вашата онлайн сигурност.
Колко достъп е твърде много? Научете за принципа на най-малката привилегия и как той може да помогне за избягване на непредвидени кибератаки.
- Обяснени технологии
- Сигурност
- Измами
- Онлайн сигурност
- Антивирус
- Зловреден софтуер
- Задна врата
Гавин е младши редактор за Windows и обяснени технологии, редовен сътрудник на наистина полезния подкаст и беше редактор на сестринния сайт на MakeUseOf, фокусиран върху крипто, Blocks Decoded. Той има бакалавърска степен (Hons) за съвременно писане с практики за дигитално изкуство, отвлечена от хълмовете на Девън, както и над десетилетие професионален опит в писането. Той се радва на обилни количества чай, настолни игри и футбол.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, рецензии, безплатни електронни книги и ексклузивни оферти!
Още една стъпка…!
Моля, потвърдете имейл адреса си в имейла, който току-що ви изпратихме.