Κάθε χρόνο, εταιρείες ασφάλειας και τεχνολογίας δημοσιεύουν λεπτομέρειες για χιλιάδες τρωτά σημεία. Τα μέσα ενημέρωσης αναφέρουν δεόντως αυτές τις ευπάθειες, επισημαίνοντας τα πιο επικίνδυνα ζητήματα και συμβουλεύοντας τους χρήστες για το πώς να παραμείνουν ασφαλείς.

Τι γίνεται όμως αν σας είπα ότι από αυτές τις χιλιάδες ευπάθειες, λίγες εκμεταλλεύονται ενεργά στη φύση;

Πόσες ευπάθειες ασφαλείας υπάρχουν, και αποφασίζουν οι εταιρείες ασφαλείας πόσο κακό είναι ένα θέμα ευπάθειας;

Πόσες ευπάθειες ασφαλείας υπάρχουν;

Κέννα Ασφάλεια Προτεραιότητα στη σειρά προβλέψεων διαπίστωσε ότι το 2019, εταιρείες ασφαλείας δημοσίευσαν πάνω από 18.000 CVE (Κοινές ευπάθειες και ανοίγματα).

Ενώ ο αριθμός αυτός ακούγεται υψηλός, η έκθεση διαπίστωσε επίσης ότι, από αυτές τις 18.000 ευπάθειες, μόνο 473 "έφτασαν σε εκτεταμένη εκμετάλλευση", που είναι περίπου το 6% του συνόλου. Αν και αυτές οι ευπάθειες πράγματι εκμεταλλεύονταν στο Διαδίκτυο, αυτό δεν σημαίνει ότι κάθε χάκερ και εισβολέας σε όλο τον κόσμο τις χρησιμοποιούσε.

Επιπλέον, "το exploit code ήταν ήδη διαθέσιμο για> 50% των τρωτών σημείων μέχρι τη δημοσίευσή τους η λίστα CVE. "Ότι ο κωδικός exploit ήταν ήδη διαθέσιμος ακούγεται ανησυχητικός στην ονομαστική του αξία, και είναι θέμα. Ωστόσο, αυτό σημαίνει επίσης ότι οι ερευνητές ασφαλείας εργάζονται ήδη για την επιδιόρθωση του ζητήματος.

Η συνήθης πρακτική είναι να διορθώσετε τις ευπάθειες μέσα σε ένα παράθυρο 30 ημερών από την έκδοση. Αυτό δεν συμβαίνει πάντα, αλλά είναι αυτό που εργάζονται οι περισσότερες εταιρείες τεχνολογίας.

Το παρακάτω διάγραμμα απεικονίζει περαιτέρω τη διαφορά μεταξύ του αριθμού των CVE που αναφέρθηκαν και του αριθμού που πραγματικά χρησιμοποιήθηκε.

Περίπου το 75% των CVE ανιχνεύονται από λιγότερο από 1 στους 11.000 οργανισμούς και μόλις το 5,9% των CVE εντοπίζονται από 1 στους 100 οργανισμούς. Αυτή είναι η εξάπλωση.

Μπορείτε να βρείτε τα παραπάνω δεδομένα και αριθμούς στην Προτεραιότητα στην Πρόβλεψη Τόμος 6: Το Attacker-Defender Divide.

Ποιος αναθέτει CVE;

Ίσως αναρωτιέστε ποιος αναθέτει και δημιουργεί ένα CVE για να ξεκινήσετε. Όχι μόνο κάποιος μπορεί να εκχωρήσει ένα CVE. Αυτήν τη στιγμή υπάρχουν 153 οργανισμοί από 25 χώρες εξουσιοδοτημένοι να εκχωρούν CVE.

Αυτό δεν σημαίνει ότι μόνο αυτές οι εταιρείες και οι οργανισμοί είναι υπεύθυνοι για την έρευνα ασφάλειας σε όλο τον κόσμο. Στην πραγματικότητα, πολύ μακριά από αυτό. Αυτό που σημαίνει είναι ότι αυτοί οι 153 οργανισμοί (γνωστοί ως Αρχές αρίθμησης CVE ή σύντομα CNA) εργάζονται σύμφωνα με ένα συμφωνημένο πρότυπο για την απελευθέρωση ευπαθειών στο δημόσιο τομέα.

Είναι μια εθελοντική θέση. Οι συμμετέχοντες οργανισμοί πρέπει να επιδείξουν την «ικανότητα να ελέγχουν την αποκάλυψη της ευπάθειας πληροφορίες χωρίς προ-δημοσίευση, "καθώς και για συνεργασία με άλλους ερευνητές που ζητούν πληροφορίες σχετικά με το τρωτά σημεία.

Υπάρχουν τρία RNA CNA, τα οποία βρίσκονται στην κορυφή της ιεραρχίας:

  • MITER Corporation
  • Cybersecurity and Infrastructure Security Agency (CISA) Industrial Control Systems (ICS)
  • JPCERT / CC

Όλα τα άλλα CNA αναφέρουν σε μία από αυτές τις τρεις ανώτατες αρχές. Τα CNA αναφοράς είναι κυρίως εταιρείες τεχνολογίας και προγραμματιστές και προμηθευτές υλικού με αναγνώριση ονόματος, όπως Microsoft, AMD, Intel, Cisco, Apple, Qualcomm κ.ο.κ Η πλήρης λίστα CNA είναι διαθέσιμη στο Ιστοσελίδα MITER.

Αναφορά ευπάθειας

Η αναφορά ευπάθειας καθορίζεται επίσης από τον τύπο του λογισμικού και την πλατφόρμα στην οποία βρίσκεται η ευπάθεια. Εξαρτάται επίσης από το ποιος το βρίσκει αρχικά.

Για παράδειγμα, εάν ένας ερευνητής ασφαλείας εντοπίσει μια ευπάθεια σε κάποιο ιδιόκτητο λογισμικό, είναι πιθανό να το αναφέρει απευθείας στον προμηθευτή. Εναλλακτικά, εάν η ευπάθεια βρίσκεται σε ένα πρόγραμμα ανοιχτού κώδικα, ο ερευνητής μπορεί να ανοίξει ένα νέο ζήτημα στη σελίδα αναφορών έργων ή ζητημάτων.

Ωστόσο, εάν ένας άθλιος άνθρωπος βρει πρώτα την ευπάθεια, ενδέχεται να μην το αποκαλύψει στον εν λόγω πωλητή. Όταν συμβεί αυτό, οι ερευνητές ασφαλείας και οι πωλητές ενδέχεται να μην έχουν επίγνωση της ευπάθειας έως ότου γίνει χρησιμοποιείται ως εκμετάλλευση μηδενικής ημέρας.

Πώς αξιολογούν οι CVE οι εταιρείες ασφαλείας;

Ένα άλλο ζήτημα είναι ο τρόπος με τον οποίο οι εταιρείες ασφάλειας και τεχνολογίας αξιολογούν τα CVE.

Ο ερευνητής ασφάλειας δεν τραβά απλώς έναν αριθμό από λεπτό αέρα και τον εκχωρεί σε μια ευάλωτη κατάσταση που ανακαλύφθηκε πρόσφατα. Υπάρχει ένα πλαίσιο βαθμολόγησης που καθοδηγεί τη βαθμολογία ευπάθειας: το Σύστημα Κοινοτικής Ευπάθειας (CVSS).

Η κλίμακα CVSS έχει ως εξής:

Αυστηρότητα Βαθμολογία βάσης
Κανένας 0
Χαμηλός 0.1-3.9
Μεσαίο 4.0-6.9
Υψηλός 7.0-8.9
Κρίσιμος 9.0-10.0

Για να καταλάβουν την τιμή CVSS για μια ευπάθεια, οι ερευνητές αναλύουν μια σειρά μεταβλητών που καλύπτουν τις μετρήσεις βασικής βαθμολογίας, τις μετρήσεις χρονικής βαθμολογίας και τις μετρήσεις περιβαλλοντικών βαθμολογιών.

  • Μετρήσεις βασικής βαθμολογίας καλύπτει πράγματα όπως το πόσο αξιοποιήσιμο είναι το θέμα ευπάθειας, η πολυπλοκότητα επίθεσης, τα απαιτούμενα προνόμια και το εύρος της ευπάθειας.
  • Μετρήσεις χρονικής βαθμολογίας καλύπτει πτυχές όπως το πόσο ώριμος είναι ο κώδικας εκμετάλλευσης, εάν υπάρχει αποκατάσταση για την εκμετάλλευση και η εμπιστοσύνη στην αναφορά της ευπάθειας.
  • Μετρήσεις περιβαλλοντικής βαθμολογίας ασχοληθείτε με διάφορους τομείς:
    • Μετρήσεις αξιοποίησης: Κάλυψη του φορέα επίθεσης, πολυπλοκότητα επίθεσης, προνόμια, απαιτήσεις αλληλεπίδρασης χρήστη και πεδίο εφαρμογής.
    • Μετρήσεις επιπτώσεων: Καλύπτοντας τον αντίκτυπο στην εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα.
    • Συντελεστής επιπτώσεων: Προσθέτει περαιτέρω ορισμό στις μετρήσεις αντικτύπου, καλύπτοντας απαιτήσεις εμπιστευτικότητας, απαιτήσεις ακεραιότητας και απαιτήσεις διαθεσιμότητας.

Τώρα, αν όλα αυτά ακούγονται λίγο μπερδεμένα, σκεφτείτε δύο πράγματα. Πρώτον, αυτή είναι η τρίτη επανάληψη της κλίμακας CVSS. Αρχικά ξεκίνησε με τη Βαθμολογία βάσης προτού προσθέσει τις επόμενες μετρήσεις κατά τις μεταγενέστερες αναθεωρήσεις. Η τρέχουσα έκδοση είναι CVSS 3.1.

Δεύτερον, για να κατανοήσετε καλύτερα τον τρόπο με τον οποίο το CVSS υποδηλώνει τις βαθμολογίες, μπορείτε να χρησιμοποιήσετε το Υπολογιστής CVSS εθνικής βάσης δεδομένων ευπάθειας για να δείτε πώς αλληλεπιδρούν οι μετρήσεις ευπάθειας.

Δεν υπάρχει αμφιβολία ότι η βαθμολόγηση μιας ευπάθειας "από το μάτι" θα ήταν εξαιρετικά δύσκολη, οπότε μια αριθμομηχανή όπως αυτή βοηθά στην παροχή μιας ακριβούς βαθμολογίας.

Μείνετε ασφαλείς στο Διαδίκτυο

Παρόλο που η έκθεση ασφαλείας της Κέννα δείχνει ότι μόνο ένα μικρό ποσοστό των ευπαθειών που αναφέρθηκαν γίνονται μια σοβαρή απειλή, μια πιθανότητα εκμετάλλευσης 6% εξακολουθεί να είναι υψηλή. Φανταστείτε εάν η αγαπημένη σας καρέκλα είχε 6 στις 100 πιθανότητες να σπάσει κάθε φορά που κάθεστε. Θα το αντικαταστήσατε, σωστά;

Δεν έχετε τις ίδιες επιλογές με το Διαδίκτυο. είναι αναντικατάστατο. Ωστόσο, όπως και η αγαπημένη σας καρέκλα, μπορείτε να την επιδιορθώσετε και να την ασφαλίσετε προτού γίνει ακόμη μεγαλύτερο πρόβλημα. Υπάρχουν πέντε σημαντικά πράγματα που πρέπει να κάνετε για να πείτε ασφαλή στο διαδίκτυο και να αποφύγετε κακόβουλα προγράμματα και άλλα αξιοθέατα:

  1. Εκσυγχρονίζω. Διατηρήστε το σύστημά σας ενημερωμένο. Οι ενημερώσεις είναι ο νούμερο ένα τρόπος που οι εταιρείες τεχνολογίας διατηρούν τον υπολογιστή σας ασφαλή, διορθώνοντας τα τρωτά σημεία και άλλα ελαττώματα.
  2. Antivirus. Ίσως να διαβάσετε πράγματα στο διαδίκτυο, όπως "δεν χρειάζεστε πλέον ένα antivirus" ή "το antivirus είναι άχρηστο." Σίγουρος, οι εισβολείς εξελίσσονται συνεχώς για να αποφύγουν προγράμματα προστασίας από ιούς, αλλά θα είχατε σε πολύ χειρότερη κατάσταση χωρίς τους. Το ενσωματωμένο antivirus στο λειτουργικό σας σύστημα είναι ένα εξαιρετικό σημείο εκκίνησης, αλλά μπορείτε να αυξήσετε την προστασία σας με ένα εργαλείο όπως το Malwarebytes.
  3. Συνδέσεις. Μην κάνετε κλικ εκτός αν ξέρετε πού πηγαίνουν. Μπορείς ελέγξτε έναν ύποπτο σύνδεσμο χρησιμοποιώντας τα ενσωματωμένα εργαλεία του προγράμματος περιήγησής σας.
  4. Κωδικός πρόσβασης. Κάντε το δυνατό, κάντε το μοναδικό και μην το ξαναχρησιμοποιήσετε. Ωστόσο, η ανάμνηση όλων αυτών των κωδικών πρόσβασης είναι δύσκολη - κανείς δεν θα αμφισβητούσε αυτό. Γι 'αυτό πρέπει ελέγξτε έναν διαχειριστή κωδικών πρόσβασης εργαλείο που θα σας βοηθήσει να θυμάστε και να προστατεύσετε καλύτερα τους λογαριασμούς σας.
  5. Απάτες. Υπάρχουν πολλές απάτες στο Διαδίκτυο. Αν φαίνεται πολύ καλό για να είναι αληθινό, μάλλον είναι. Οι εγκληματίες και οι απατεώνες είναι έμπειροι στη δημιουργία σουηδικών ιστότοπων με στιλβωμένα μέρη για να σας καταπλήξουν μέσω μιας απάτης χωρίς να το συνειδητοποιήσετε. Μην πιστεύετε ό, τι διαβάζετε στο διαδίκτυο.

Η διατήρηση της ασφάλειας στο διαδίκτυο δεν χρειάζεται να είναι πλήρης απασχόληση και δεν χρειάζεται να ανησυχείτε κάθε φορά που ενεργοποιείτε τον υπολογιστή σας. Η λήψη μερικών μέτρων ασφαλείας θα ενισχύσει δραστικά την ασφάλειά σας στο διαδίκτυο.

ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
Ποια είναι η αρχή του Least Privilege και πώς μπορεί να αποτρέψει Cyberattacks;

Πόση πρόσβαση είναι πάρα πολύ; Μάθετε για την αρχή του λιγότερο προνομίου και πώς μπορεί να βοηθήσει στην αποφυγή απρόβλεπτων κυβερνοεπιθέσεων.

Σχετικά θέματα
  • Η τεχνολογία εξηγείται
  • Ασφάλεια
  • Απάτες
  • Διαδικτυακή ασφάλεια
  • Antivirus
  • Κακόβουλο λογισμικό
  • Πίσω πόρτα
Σχετικά με τον Συγγραφέα
Γκάβιν Φίλιπς (742 Δημοσιευμένα άρθρα)

Ο Gavin είναι ο Junior Editor για Windows and Technology Explained, τακτικός συνεισφέρων στο Really Useful Podcast και ήταν ο συντάκτης για τον αδελφό ιστότοπο του MakeUseOf, το Blocks Decoded. Έχει BA (Hons) Σύγχρονη γραφή με πρακτικές ψηφιακής τέχνης λεηλατημένη από τους λόφους του Devon, καθώς και πάνω από μια δεκαετία επαγγελματικής εμπειρίας γραφής. Απολαμβάνει άφθονο τσάι, επιτραπέζια παιχνίδια και ποδόσφαιρο.

Περισσότερα από τον Gavin Phillips

Εγγραφείτε στο Newsletter μας

Εγγραφείτε στο ενημερωτικό δελτίο μας για τεχνικές συμβουλές, κριτικές, δωρεάν ebook και αποκλειστικές προσφορές!

Ένα ακόμη βήμα…!

Επιβεβαιώστε τη διεύθυνση email σας στο email που μόλις σας στείλαμε.

.