Turvallisuus- ja teknologiayritykset julkaisevat vuosittain yksityiskohtia tuhansista haavoittuvuuksista. Tiedotusvälineet raportoivat asianmukaisesti näistä haavoittuvuuksista korostaen vaarallisimmat ongelmat ja neuvoen käyttäjiä turvassa pysymisestä.

Mutta entä jos sanoisin teille, että näistä tuhansista haavoittuvuuksista vain harvat hyödynnetään aktiivisesti luonnossa?

Kuinka monta tietoturva-aukkoa on, ja päättävätkö turvallisuusyhtiöt, kuinka huono heikkous on?

Kuinka monta turvallisuushaavoittuvuutta on?

Kenna Securityn Prioriteetti ennustusraporttisarjaan havaitsi, että vuonna 2019 turvallisuusyhtiöt julkaisivat yli 18000 CVE: tä (Common Vulnerability and Exposures).

Vaikka tämä luku kuulostaa korkealta, raportissa todettiin myös, että näistä 18 000 haavoittuvuudesta vain 473 "saavutti laajaa hyväksikäyttöä", mikä on noin 6 prosenttia kokonaismäärästä. Vaikka näitä haavoittuvuuksia todellakin hyödynnettiin Internetissä, se ei tarkoita, että jokainen hakkeri ja hyökkääjä ympäri maailmaa käyttäisi niitä.

instagram viewer

Lisäksi "hyödyntämiskoodi oli jo ollut käytettävissä yli 50 prosentille haavoittuvuuksista, kun he julkaisivat sen CVE - luettelo. "Se, että hyödyntämiskoodi oli jo käytettävissä, kuulostaa hälyttävältä nimellisarvoltaan, ja se on ongelma. Se tarkoittaa kuitenkin myös sitä, että turvallisuustutkijat työskentelevät jo ongelman korjaamiseksi.

Yleinen käytäntö on korjata haavoittuvuudet 30 päivän julkaisuikkunaan. Sitä ei aina tapahdu, mutta useimmat teknologiayritykset pyrkivät siihen.

Alla oleva kaavio havainnollistaa edelleen ilmoitettujen CVE-lukujen ja tosiasiallisesti hyödynnetyn lukumäärän välistä eroa.

Noin 75 prosenttia CVE: stä havaitaan vähemmän kuin Yksi 11 000 organisaatiosta ja vain 5,9 prosenttia CVE: stä havaitsee yksi 100 organisaatiosta. Se on melko levinnyt.

Yllä olevat tiedot ja luvut löydät kohdasta Prioritization to Prediction Volume 6: Attacker-Defender Divide.

Kuka antaa CVE: t?

Saatat miettiä, kuka aloittaa CVE: n ja luo sen. Ei kukaan voi määrittää CVE: tä. Tällä hetkellä 153 organisaatiota 25 maasta on valtuutettu määrittelemään CVE: t.

Tämä ei tarkoita, että vain nämä yritykset ja organisaatiot ovat vastuussa turvallisuustutkimuksesta ympäri maailmaa. Kaukana siitä, itse asiassa. Se tarkoittaa, että nämä 153 organisaatiota (tunnetaan nimellä CVE-numerointiviranomaiset tai lyhennettynä CNA: t) työskentelevät sovitun standardin mukaisesti haavoittuvuuksien julkistamiseksi.

Se on vapaaehtoinen kanta. Osallistuvien organisaatioiden on osoitettava "kykynsä hallita haavoittuvuuden paljastamista tiedot ilman ennakkojulkaisua "sekä työskennellä muiden tutkijoiden kanssa, jotka pyytävät tietoja haavoittuvuudet.

Hierarkian kärjessä on kolme juur CNA: ta:

  • MITER Corporation
  • Kyberturvallisuus- ja infrastruktuurin turvallisuusvirasto (CISA) Teollisuuden ohjausjärjestelmät (ICS)
  • JPCERT / CC

Kaikki muut kansalliset toimivaltaiset viranomaiset raportoivat yhdelle näistä kolmesta ylimmän tason viranomaisesta. Raportoivat CNA: t ovat pääasiassa teknologiayrityksiä ja laitteistokehittäjiä ja toimittajia, joilla on nimen tunnistus, kuten Microsoft, AMD, Intel, Cisco, Apple, Qualcomm ja niin edelleen. Täydellinen CNA-luettelo on saatavilla Internetissä MITER -sivusto.

Haavoittuvuusraportointi

Haavoittuvuusraportointi määritetään myös ohjelmistotyypin ja haavoittuvuuden sisältävän alustan perusteella. Se riippuu myös siitä, kuka löytää sen.

Esimerkiksi, jos tietoturvatutkija löytää haavoittuvuuden joistakin omistetuista ohjelmistoista, he todennäköisesti ilmoittavat siitä suoraan toimittajalle. Vaihtoehtoisesti, jos haavoittuvuus löytyy avoimen lähdekoodin ohjelmasta, tutkija voi avata uuden ongelman projektiraportointi- tai emissiosivulla.

Jos paha henkilö löytää ensin haavoittuvuuden, hän ei ehkä paljasta sitä kyseiselle myyjälle. Kun näin tapahtuu, tietoturvatutkijat ja -myyjät eivät ehkä tiedä haavoittuvuudesta ennen kuin se on käytetään nollapäivän hyväksikäytönä.

Kuinka turvallisuusyhtiöt arvioivat CVE: itä?

Toinen huomio on, kuinka turvallisuus- ja teknologiayritykset arvioivat CVE: itä.

Turvallisuustutkija ei vain vedä numeroa tyhjästä ja osoittaa sen vasta löydettyyn haavoittuvuuteen. Haavoittuvuuksien pisteyttämistä varten on käytössä pisteytyskehys: yhteinen haavoittuvuuspisteytysjärjestelmä (CVSS).

CVSS-asteikko on seuraava:

Vakavuus Peruspisteet
Ei mitään 0
Matala 0.1-3.9
Keskitaso 4.0-6.9
Korkea 7.0-8.9
Kriittinen 9.0-10.0

Saadakseen selville haavoittuvuuden CVSS-arvon tutkijat analysoivat sarjan muuttujia, jotka kattavat peruspistemittarit, ajalliset pisteet ja ympäristöpisteet.

  • Peruspisteiden mittarit kattaa esimerkiksi haavoittuvuuden hyödynnettävyyden, hyökkäyksen monimutkaisuuden, vaaditut oikeudet ja haavoittuvuuden laajuuden.
  • Ajalliset pisteet kattaa näkökohdat, kuten hyödyntämiskoodin kypsyys, jos hyödyntämistä varten on olemassa korjauksia, ja luottamus haavoittuvuuden ilmoittamiseen.
  • Ympäristötulotiedot käsitellä useita alueita:
    • Hyödyntämismittarit: Kattaa hyökkäysvektorin, hyökkäyksen monimutkaisuuden, oikeudet, käyttäjän vuorovaikutusta koskevat vaatimukset ja laajuuden.
    • Vaikutusmittarit: Kattaa luottamuksellisuuteen, eheyteen ja saatavuuteen kohdistuvat vaikutukset.
    • Vaikutusosio: Lisää vaikutusten mittariin määritelmä, joka kattaa luottamuksellisuus-, eheys- ja saatavuusvaatimukset.

Jos tämä kaikki kuulostaa hieman hämmentävältä, harkitse kahta asiaa. Ensinnäkin tämä on CVSS-asteikon kolmas iterointi. Alun perin se alkoi peruspisteistä, ennen kuin lisättiin seuraavat mittarit myöhempien versioiden aikana. Nykyinen versio on CVSS 3.1.

Toiseksi, voit ymmärtää paremmin, kuinka CVSS merkitsee pisteitä, käyttämällä Kansallinen haavoittuvuustietokanta CVSS-laskin nähdäksesi kuinka haavoittuvuustiedot ovat vuorovaikutuksessa.

Ei ole epäilystäkään siitä, että haavoittuvuuden pisteyttäminen "silmällä" olisi erittäin vaikeaa, joten tällainen laskin auttaa saamaan tarkan pistemäärän.

Pysy turvassa verkossa

Vaikka Kenna Security -raportti osoittaa, että vain pieni osa ilmoitetuista haavoittuvuuksista tulee vakavaksi uhaksi, 6 prosentin mahdollisuus hyväksikäyttöön on silti korkea. Kuvittele, jos suosikkituolissasi olisi 6 100 mahdollisuus rikkoutua aina, kun istut. Vaihdat sen, eikö?

Sinulla ei ole samoja vaihtoehtoja Internetin kanssa; se on korvaamaton. Suosikkituolisi tavoin voit kuitenkin korjata sen ja kiinnittää sen, ennen kuin siitä tulee vielä suurempi ongelma. On viisi tärkeää asiaa sanoa turvalliseksi verkossa ja välttää haittaohjelmia ja muita hyökkäyksiä:

  1. Päivittää. Pidä järjestelmäsi ajan tasalla. Päivitykset ovat ykkönen tapa, jolla teknologiayritykset pitävät tietokoneesi turvassa, korjaamalla haavoittuvuudet ja muut puutteet.
  2. Antivirus. Voit lukea asioita verkossa, kuten "et enää tarvitse virustorjuntaohjelmaa" tai "virustorjunta on hyödytöntä". Varma, hyökkääjät kehittyvät jatkuvasti kiertääkseen virustentorjuntaohjelmia, mutta ilman sitä olisit paljon pahemmassa tilanteessa niitä. Käyttöjärjestelmän integroitu virustorjunta on hyvä lähtökohta, mutta voit irrottaa suojauksesi Malwarebytesin kaltaisella työkalulla.
  3. Linkit. Älä napsauta niitä, ellet tiedä minne he ovat menossa. Sinä pystyt tarkista epäilyttävä linkki käyttämällä selaimesi sisäänrakennettuja työkaluja.
  4. Salasana. Tee siitä vahva, tee siitä ainutlaatuinen äläkä koskaan käytä sitä uudelleen. Kaikkien näiden salasanojen muistaminen on kuitenkin vaikeaa - kukaan ei kiistä sitä. Siksi sinun pitäisi tutustu salasananhallintaan työkalu, joka auttaa sinua muistamaan ja suojaamaan tilisi paremmin.
  5. Huijauksia. Internetissä on paljon huijauksia. Jos se tuntuu liian hyvältä ollakseen totta, se todennäköisesti on. Rikolliset ja huijarit ovat taitavia luomaan kiillotetuilla osilla olevia swish-verkkosivustoja, jotka huijaavat sinua huijauksen kautta tajuamatta sitä. Älä usko kaikkea, mitä luit verkossa.

Turvallisuuden pysyminen verkossa ei tarvitse olla kokopäiväinen työ, eikä sinun tarvitse huolehtia aina, kun käynnistät tietokoneen. Muutaman tietoturva-askeleen lisääminen parantaa huomattavasti verkkoturvallisuutta.

Sähköposti
Mikä on vähiten etuoikeuden periaate ja miten se voi estää kyberhyökkäykset?

Kuinka paljon pääsyä on liikaa? Tutustu vähäisimpien etuoikeuksien periaatteeseen ja miten se voi auttaa välttämään odottamattomia verkkohyökkäyksiä.

Liittyvät aiheet
  • Teknologia selitetty
  • Turvallisuus
  • Huijauksia
  • Verkkoturva
  • Antivirus
  • Haittaohjelma
  • Takaovi
Kirjailijasta
Gavin Phillips (742 artikkelia julkaistu)

Gavin on Windows and Technology Explained -ohjelman nuorempi toimittaja, säännöllinen avustaja todella hyödyllisessä podcastissa, ja hän oli MakeUseOfin salauspainotteisen sisarussivuston, Blocks Decoded, toimittaja. Hänellä on BA (Hons) nykykirjoittaminen digitaalisen taiteen käytännöillä, jotka on ryöstetty Devonin kukkuloilta, sekä yli kymmenen vuoden ammattikirjoittamisen kokemus. Hän nauttii runsaasta määrästä teetä, lautapelejä ja jalkapalloa.

Lisää Gavin Phillipsiltä

Tilaa uutiskirjeemme

Liity uutiskirjeeseemme, jossa on teknisiä vinkkejä, arvosteluja, ilmaisia ​​e-kirjoja ja erikoistarjouksia!

Vielä yksi askel !!!

Vahvista sähköpostiosoitteesi juuri lähettämässäsi sähköpostissa.

.