Kui palju on turvaauke ja kuidas neid hinnatakse?

Igal aastal avaldavad turva- ja tehnoloogiaettevõtted üksikasjad tuhandete haavatavuste kohta. Meedia kajastab neid haavatavusi nõuetekohaselt, tuues välja kõige ohtlikumad probleemid ja andes kasutajatele nõu turvalisuse tagamiseks.

Aga mis oleks, kui ma ütleksin teile, et neist tuhandetest haavatavustest kasutatakse looduses aktiivselt vähe ära?

Niisiis, kui palju on turvaauke ja kas turvafirmad otsustavad, kui haavatav on?

Kui palju on turvaauke

Kenna Turvalisus Prioriteetide määramine ennustusaruannete sarjadele leidis, et 2019. aastal avaldasid turvaettevõtted enam kui 18 000 CVE-d (levinud haavatavused ja kokkupuuted).

Ehkki see näitaja kõlab kõrgel tasemel, leiti aruandes ka, et nendest 18 000 haavatavusest ainult 473 "jõudis laialdasele ekspluateerimisele", mis on umbes 6 protsenti koguarvust. Kuigi neid haavatavusi kasutati tõepoolest kogu Internetis, ei tähenda see, et kõik häkkerid ja ründajad kogu maailmas neid kasutasid.

Pealegi oli "ekspluateerimiskood juba avaldamise ajaks olnud saadaval> 50% haavatavustest CVE loend. "See, et ärakood oli juba saadaval, kõlab nimiväärtuselt murettekitavalt ja see on probleem. See aga tähendab ka seda, et turvauurijad tegelevad juba probleemi lappimisega.

Levinud tava on haavatavuste lappimine 30-päevase avaldamisperioodi jooksul. Seda ei juhtu alati, kuid enamik tehnoloogiaettevõtteid töötab selle nimel.

Alltoodud diagramm illustreerib täiendavalt teatatud CVE-de ja tegelikult ekspluateeritud arvu erinevust.

Ligikaudu 75 protsenti CVE-dest tuvastab vähem kui 1 11 000 organisatsioonist ja vaid 5,9 protsenti CVE-dest tuvastab 1 organisatsioon 100-st. See on üsna levinud.

Ülaltoodud andmed ja arvud leiate jaotisest Prioriteetide määramine ennustamiseks 6. köide: ründaja-kaitsja jagamine.

Kes määrab CVE-sid?

Võite mõelda, kes määrab ja loob CVE alustuseks. CVE-d ei saa määrata mitte keegi. Praegu on CVE-de määramiseks volitatud 153 organisatsiooni 25 riigist.

See ei tähenda, et ainult need ettevõtted ja organisatsioonid vastutavad turvauuringute eest kogu maailmas. Tegelikult kaugel sellest. Mida see tähendab, on see, et need 153 organisatsiooni (tuntud kui CVE numeratsiooniasutused või lühidalt CNA-d) töötavad haavatavuste avalikuks levitamiseks kokkulepitud standardi kohaselt.

See on vabatahtlik seisukoht. Osalevad organisatsioonid peavad näitama "võimet haavatavuse avaldamist kontrollida teave ilma eelneva avaldamiseta ", samuti teha koostööd teiste teadlastega, kes küsivad teavet haavatavused.

Hierarhia tipus on kolm peamist CNA-d:

• Korporatsioon MITER
• Küberjulgeoleku ja infrastruktuuri turvalisuse agentuuri (CISA) tööstuslikud juhtimissüsteemid (ICS)
• JPCERT / CC

Kõik muud CNA-d annavad aru ühele neist kolmest tippasutusest. Aruandlusega tegelevad CNA-d on valdavalt nimetuvastusega tehnoloogiaettevõtted ja riistvaraarendajad ning müüjad, näiteks Microsoft, AMD, Intel, Cisco, Apple, Qualcomm ja nii edasi. CNA täielik loetelu on saadaval veebisaidil MITER veebileht.

Haavatavuse aruandlus

Haavatavuse aruandlus on määratletud ka tarkvara tüübi ja haavatavuse platvormi järgi. Oleneb ka sellest, kes selle algselt leiab.

Näiteks kui turvauurija leiab mõnes varalises tarkvaras haavatavuse, teatavad nad sellest tõenäoliselt otse müüjale. Kui haavatavus leitakse avatud lähtekoodiga programmis, võib teadlane projektiaruandluse või probleemide lehel avada uue väljaande.

Kui alatu inimene peaks haavatavuse kõigepealt üles leidma, ei pruugi ta seda kõnealusele müüjale avaldada. Kui see juhtub, ei pruugi turvauurijad ja müüjad haavatavusest teada enne, kui see on kasutatakse nullipäevase ärakasutamisena.

Kuidas hindavad turvafirmad CVE-sid?

Teine kaalutlus on see, kuidas turva- ja tehnoloogiaettevõtted CVE-sid hindavad.

Turvauurija ei tõmba numbrit lihtsalt õhust välja ja määrab selle äsja avastatud haavatavusele. Haavatavuse hindamiseks on olemas hindamisraamistik: ühine haavatavuse hindamissüsteem (CVSS).

CVSS-skaala on järgmine:

Tõsidus	Baasskoor
Puudub	0
Madal	0.1-3.9
Keskmine	4.0-6.9
Kõrge	7.0-8.9
Kriitiline	9.0-10.0

Haavatavuse CVSS-väärtuse väljaselgitamiseks analüüsivad teadlased rida muutujaid, mis hõlmavad põhiskoori mõõdikuid, ajahetke mõõdikuid ja keskkonnaseisundi mõõdikuid.

• Baaskoori mõõdikud hõlmavad näiteks haavatavuse ärakasutatavust, rünnaku keerukust, nõutavaid privileege ja haavatavuse ulatust.
• Ajalise skoori mõõdikud hõlmavad selliseid aspekte nagu kasutuskoodi küpsus, kui ekspluateerimiseks on heastamine, ja usaldus haavatavusest teatamise vastu.
• Keskkonnamõju mõõdikud tegeleda mitme valdkonnaga:
  • Kasutatavuse mõõdikud: Ründevektori, rünnaku keerukuse, privileegide, kasutajaga suhtlemise nõuete ja ulatuse katmine.
  • Mõju mõõdikud: Konfidentsiaalsuse, terviklikkuse ja kättesaadavuse mõju kajastamine.
  • Mõju alamskoor: Lisab mõju mõõdikutele täiendava määratluse, mis hõlmab konfidentsiaalsusnõudeid, terviklikkuse ja kättesaadavuse nõudeid.

Kui nüüd see kõik tundub veidi segane, kaaluge kahte asja. Esiteks on see CVSS-skaala kolmas kordus. Alguses algas see algskoorist, enne kui lisati järgnevad mõõdikud hilisemate versioonide käigus. Praegune versioon on CVSS 3.1.

Teiseks, et paremini mõista, kuidas CVSS hindeid tähistab, saate kasutada Riiklik haavatavuste andmebaas CVSS kalkulaator et näha, kuidas haavatavuse mõõdikud suhtlevad.

Pole kahtlust, et haavatavuse silma järgi hindamine oleks äärmiselt keeruline, seega aitab selline kalkulaator täpse skoori anda.

Veebis turvalisuse tagamine

Ehkki Kenna Security aruanne illustreerib, et ainult väike osa teatatud haavatavustest muutub tõsiseks ohuks, on 6-protsendiline ärakasutamise võimalus siiski kõrge. Kujutage ette, kui teie lemmiktoolil oleks iga kord, kui maha istute, purunemise võimalus 6-st 100-st. Sa asendaksid selle, eks?

Internetiga pole teil samu võimalusi; see on asendamatu. Kuid nagu teie lemmiktool, võite ka selle lappida ja kinnitada, enne kui see muutub veelgi suuremaks probleemiks. Veebis turvaliseks olemiseks ning pahavara ja muude ärakasutamiste vältimiseks tuleb teha viis olulist asja.

1. Uuenda. Hoidke oma süsteemi ajakohasena. Uuendused on number üks viis, kuidas tehnoloogiaettevõtted teie arvuti turvalisuse tagavad, parandades haavatavusi ja muid vigu.
2. Viirusetõrje. Võite lugeda veebist selliseid asju nagu "te ei vaja enam viirusetõrjet" või "viirusetõrje on kasutu". Muidugi, ründajad arenevad pidevalt, et vältida viirusetõrjeprogramme, kuid ilma selleta oleksite palju halvemas olukorras neid. Teie opsüsteemi integreeritud viirusetõrje on suurepärane lähtepunkt, kuid saate oma kaitse laiendada sellise tööriistaga nagu Malwarebytes.
3. Lingid. Ärge klõpsake neid, kui te ei tea, kuhu nad lähevad. Sa saad kontrollige kahtlast linki brauseri sisseehitatud tööriistade abil.
4. Parool. Muutke see tugevaks, muutke see ainulaadseks ja ärge kunagi seda uuesti kasutage. Kõigi nende paroolide mäletamine on aga keeruline - keegi ei vaidleks selle vastu. Sellepärast peakski vaadake paroolihaldurit tööriist, mis aitab teil oma kontosid meeles pidada ja paremini kaitsta.
5. Pettused. Internetis on palju pettusi. Kui see tundub liiga hea, et olla tõsi, ilmselt on. Kurjategijad ja petturid oskavad lihvitud osadega veebisaite luua, et teid kelmuse kaudu arugi saada. Ära usu kõike, mida võrgus loed.

Veebis turvalisuse tagamine ei pea olema täiskohaga töö ja te ei pea muretsema iga kord, kui arvuti sisse lülitate. Mõne turvameetme võtmine suurendab teie veebiturvalisust drastiliselt.

Mis on vähima privileegi põhimõte ja kuidas see küberrünnakuid ära hoida?

Kui palju juurdepääsu on liiga palju? Siit saate teavet vähima privileegi põhimõtte kohta ja selle kohta, kuidas see aitab vältida ettenägematuid küberrünnakuid.

Autori kohta