Hvert år offentliggør sikkerheds- og teknologivirksomheder detaljer om tusinder af sårbarheder. Medierne rapporterer behørigt om disse sårbarheder og fremhæver de farligste problemer og rådgiver brugerne om, hvordan de kan være sikre.

Men hvad hvis jeg fortalte dig, at kun få af disse tusinder af sårbarheder udnyttes aktivt i naturen?

Så hvor mange sikkerhedssårbarheder er der, og beslutter sikkerhedsselskaber, hvor dårlig en sårbarhed er?

Hvor mange sikkerhedssårbarheder er der?

Kenna Sikkerhed Prioritering til Prediction Report Series fandt ud af, at sikkerhedsselskaber i 2019 offentliggjorde over 18.000 CVE'er (Common Vulnerabilities and Exposures).

Selvom dette tal lyder højt, fandt rapporten også, at kun 473 af disse 18.000 sårbarheder "nåede udbredt udnyttelse", hvilket er omkring 6 procent af det samlede antal. Selvom disse sårbarheder faktisk blev udnyttet over internettet, betyder det ikke, at enhver hacker og angriber over hele verden brugte dem.

Desuden var "udnyttelseskode allerede tilgængelig for> 50% af sårbarhederne, da de offentliggjorde CVE - listen. "At udnyttelseskoden allerede var tilgængelig lyder alarmerende til pålydende værdi, og det er et problem. Det betyder imidlertid også, at sikkerhedsforskere allerede arbejder på at lappe problemet.

instagram viewer

Den almindelige praksis er at lappe sårbarheder inden for et 30-dages publikationsvindue. Det sker ikke altid, men det er, hvad de fleste teknologivirksomheder arbejder hen imod.

Diagrammet nedenfor illustrerer yderligere uoverensstemmelsen mellem antallet af rapporterede CVE'er og det antal, der faktisk er udnyttet.

Cirka 75 procent af CVE'erne opdages af Mindre end 1 ud af 11.000 organisationer og kun 5,9 procent af CVE'er opdages af 1 ud af 100 organisationer. Det er ganske spredningen.

Du kan finde de ovennævnte data og figurer i Prioritering til forudsigelse Volumen 6: Attacker-Defender Divide.

Hvem tildeler CVE'er?

Du undrer dig måske over, hvem der tildeler og opretter en CVE til at begynde med. Ikke bare nogen kan tildele en CVE. Der er i øjeblikket 153 organisationer fra 25 lande, der har tilladelse til at tildele CVE'er.

Det betyder ikke, at kun disse virksomheder og organisationer er ansvarlige for sikkerhedsforskning over hele verden. Faktisk langt fra det. Hvad det betyder er, at disse 153 organisationer (kendt som CVE-nummereringsmyndigheder eller kort CNA'er) arbejder efter en aftalt standard for frigivelse af sårbarheder i det offentlige område.

Det er en frivillig stilling. De deltagende organisationer skal demonstrere "evnen til at kontrollere afsløringen af ​​sårbarhed information uden forudgivelse, "samt at arbejde med andre forskere, der anmoder om information om sårbarheder.

Der er tre rod-CNA'er, som sidder øverst i hierarkiet:

  • MITER Corporation
  • Agenturet for cybersikkerhed og infrastruktursikkerhed (CISA) Industrial Control Systems (ICS)
  • JPCERT / CC

Alle andre CNA'er rapporterer til en af ​​disse tre øverste myndigheder. De rapporterende CNA'er er overvejende tekniske virksomheder og hardwareudviklere og -leverandører med navnegenkendelse, såsom Microsoft, AMD, Intel, Cisco, Apple, Qualcomm osv. Den fulde CNA-liste er tilgængelig på MITER-websted.

Sårbarhedsrapportering

Sårbarhedsrapportering defineres også af typen af ​​software og platformen, hvor sårbarheden findes. Det afhænger også af, hvem der oprindeligt finder det.

For eksempel, hvis en sikkerhedsforsker finder en sårbarhed i en eller anden proprietær software, rapporterer de sandsynligvis det direkte til sælgeren. Alternativt, hvis sårbarheden findes i et open source-program, kan forskeren muligvis åbne et nyt problem på siden projektrapportering eller problemer.

Men hvis en ondskabsfuld person skulle finde sårbarheden først, kan de muligvis ikke videregive den til den pågældende sælger. Når dette sker, bliver sikkerhedsforskere og -leverandører muligvis ikke opmærksomme på sårbarheden, før den er det brugt som en nul-dages udnyttelse.

Hvordan vurderer sikkerhedsfirmaer CVE'er?

En anden overvejelse er, hvordan sikkerheds- og teknologivirksomheder vurderer CVE'er.

Sikkerhedsforskeren trækker ikke bare et nummer ud af luften og tildeler det til en nyopdaget sårbarhed. Der er en scoringsramme på plads, der styrer sårbarhedsscoring: Common Vulnerability Scoring System (CVSS).

CVSS-skalaen er som følger:

Alvorlighed Basis score
Ingen 0
Lav 0.1-3.9
Medium 4.0-6.9
Høj 7.0-8.9
Kritisk 9.0-10.0

For at finde ud af CVSS-værdien for en sårbarhed analyserer forskere en række variabler, der dækker basisscore-metrics, temporal score-metrics og miljøscore-metrics.

  • Basis score metrics dække ting som hvor udnytteligt sårbarheden er, angrebskompleksiteten, de krævede privilegier og omfanget af sårbarheden.
  • Temporal score metrics dække aspekter som hvor moden udnyttelseskoden er, hvis der findes afhjælpning af udnyttelsen, og tilliden til rapporteringen af ​​sårbarheden.
  • Miljømæssige målinger beskæftiger sig med flere områder:
    • Metoder til udnyttelse: Dækker angrebsvektoren, angrebskompleksitet, privilegier, brugerinteraktionskrav og omfang.
    • Effektmålinger: Dækker indvirkningen på fortrolighed, integritet og tilgængelighed.
    • Impact Subscore: Føjer yderligere definition til Impact Metrics, der dækker fortrolighedskrav, integritetskrav og tilgængelighedskrav.

Hvis alt dette lyder lidt forvirrende, skal du overveje to ting. For det første er dette den tredje iteration af CVSS-skalaen. Det begyndte oprindeligt med basisresultatet, før det tilføjede de efterfølgende målinger under senere revisioner. Den aktuelle version er CVSS 3.1.

For det andet, for bedre at forstå, hvordan CVSS denominerer scoringer, kan du bruge National CVSS Calculator for sårbarhedsdatabase for at se, hvordan sårbarhedsmålingerne interagerer.

Der er ingen tvivl om, at det at score en sårbarhed "efter øje" ville være ekstremt vanskelig, så en lommeregner som denne hjælper med at levere en præcis score.

At være sikker online

Selvom rapporten fra Kenna Security illustrerer, at kun en lille del af rapporterede sårbarheder bliver en alvorlig trussel, er 6 procent chance for udnyttelse stadig høj. Forestil dig, om din yndlingsstol havde en 6 ud af 100 chance for at gå i stykker hver gang du satte dig ned. Du ville erstatte det, ikke?

Du har ikke de samme muligheder med Internettet; det er uerstatteligt. Ligesom din yndlingsstol kan du dog lappe den op og sikre den, før den bliver et endnu større problem. Der er fem vigtige ting at gøre for at sige sikkert online og undgå malware og anden udnyttelse:

  1. Opdatering. Hold dit system opdateret. Opdateringer er den førende måde, hvorpå teknologivirksomheder holder din computer sikker og udbedrer sårbarheder og andre mangler.
  2. Antivirus. Du kan læse ting online som "du behøver ikke længere et antivirusprogram" eller "antivirus er ubrugeligt." Jo da, angribere udvikler sig konstant for at undgå antivirusprogrammer, men du ville være i en langt værre situation uden dem. Det integrerede antivirusprogram på dit operativsystem er et godt udgangspunkt, men du kan udvide din beskyttelse med et værktøj som Malwarebytes.
  3. Links. Klik ikke på dem, medmindre du ved, hvor de skal hen. Du kan inspicere et mistænkeligt link ved hjælp af din browsers indbyggede værktøjer.
  4. Adgangskode. Gør den stærk, gør den unik, og genbrug den aldrig. Det er imidlertid svært at huske alle disse adgangskoder - ingen vil argumentere imod det. Derfor skal du tjek en adgangskodeadministrator værktøj til at hjælpe dig med at huske og bedre sikre dine konti.
  5. Svindel. Der er en masse svindel på Internettet. Hvis det virker for godt til at være sandt, det er det sandsynligvis. Kriminelle og svindlere er dygtige til at oprette swish-websteder med polerede dele til whoosh dig gennem en fidus uden at vide det. Tro ikke på alt, hvad du læser online.

At være sikker online behøver ikke at være et fuldtidsjob, og du behøver ikke bekymre dig, hver gang du affyrer din computer. At tage et par sikkerhedstrin vil drastisk øge din online sikkerhed.

E-mail
Hvad er princippet om mindst privilegium, og hvordan kan det forhindre cyberangreb?

Hvor meget adgang er for meget? Lær om princippet om mindst privilegium, og hvordan det kan hjælpe med at undgå uforudsete cyberangreb.

Relaterede emner
  • Teknologi forklaret
  • Sikkerhed
  • Svindel
  • Onlinesikkerhed
  • Antivirus
  • Malware
  • Bagdør
Om forfatteren
Gavin Phillips (742 udgivne artikler)

Gavin er Junior Editor til Windows og Technology Explained, en regelmæssig bidragyder til den virkelig nyttige podcast og var redaktør for MakeUseOfs kryptofokuserede søsterside, Blocks Decoded. Han har en BA (Hons) nutidig skrivning med digital kunstpraksis, der er plyndret fra bakkerne i Devon, samt over et årti med professionel skriverfaring. Han nyder store mængder te, brætspil og fodbold.

Mere fra Gavin Phillips

Abonner på vores nyhedsbrev

Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!

Et trin mere !!!

Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.

.