Hvor mange sikkerhetsproblemer er det, og hvordan vurderes de?

Hvert år publiserer sikkerhets- og teknologibedrifter detaljer om tusenvis av sårbarheter. Media rapporterer behørig om disse sårbarhetene, og fremhever de farligste problemene og gir brukerne råd om hvordan de kan være trygge.

Men hva om jeg fortalte deg at av de tusenvis av sårbarheter er det få som utnyttes aktivt i naturen?

Så hvor mange sikkerhetsproblemer er det, og bestemmer sikkerhetsselskaper hvor dårlig en sårbarhet er?

Hvor mange sikkerhetsproblemer er det?

Kenna Security Prioritering til Prediction Report Series fant ut at i 2019 publiserte sikkerhetsselskaper over 18.000 CVE (Common Vulnerabilities and Exposures).

Selv om dette tallet høres høyt ut, fant rapporten også at bare 473 av de 18 000 sårbarhetene "nådde utbredt utnyttelse", som er rundt 6 prosent av totalen. Selv om disse sårbarhetene faktisk ble utnyttet over internett, betyr det ikke at alle hacker og angriper over hele verden brukte dem.

Videre var "utnyttelseskode allerede tilgjengelig for> 50% av sårbarhetene da de publiserte for CVE-listen. "At utnyttelseskoden allerede var tilgjengelig høres alarmerende ut til pålydende, og det er en utgave. Det betyr imidlertid også at sikkerhetsforskere allerede jobber med å lappe problemet.

Vanlig praksis er å lappe sårbarheter i et 30-dagers publiseringsvindu. Det skjer ikke alltid, men det er det de fleste teknologibedrifter jobber mot.

Diagrammet nedenfor illustrerer avviket mellom antall rapporterte CVEer og antallet som faktisk utnyttes.

Rundt 75 prosent av CVE-ene blir oppdaget av mindre enn 1 av 11 000 organisasjoner, og bare 5,9 prosent av CVE oppdages av 1 av 100 organisasjoner. Det er ganske spredningen.

Du kan finne de ovennevnte dataene og figurene i Prioritization to Prediction Volume 6: The Attacker-Defender Divide.

Hvem tildeler CVEer?

Du lurer kanskje på hvem som tildeler og oppretter en CVE til å begynne med. Ikke hvem som helst kan tildele en CVE. Det er for tiden 153 organisasjoner fra 25 land som er autorisert til å tildele CVEer.

Det betyr ikke bare at disse selskapene og organisasjonene er ansvarlige for sikkerhetsforskning over hele verden. Langt fra det, faktisk. Hva det betyr er at disse 153 organisasjonene (kjent som CVE Numbering Authorities, eller CNAs for kort) jobber etter en avtalt standard for frigjøring av sårbarheter i det offentlige området.

Det er en frivillig stilling. De deltakende organisasjonene må demonstrere "evnen til å kontrollere avsløringen av sårbarhet informasjon uten forhåndspublisering, "samt å samarbeide med andre forskere som ber om informasjon om sårbarheter.

Det er tre rot-CNAer, som sitter øverst i hierarkiet:

• MITER Corporation
• Cybersecurity and Infrastructure Security Agency (CISA) Industrial Control Systems (ICS)
• JPCERT / CC

Alle andre CNA-er rapporterer til en av disse tre øverste myndighetene. De rapporterende CNA-ene er overveiende tekniske selskaper og maskinvareutviklere og leverandører med navnegjenkjenning, som Microsoft, AMD, Intel, Cisco, Apple, Qualcomm, og så videre. Den komplette CNA-listen er tilgjengelig på MITER nettsted.

Sårbarhetsrapportering

Sårbarhetsrapportering er også definert av typen programvare og plattformen sårbarheten finnes på. Det kommer også an på hvem som opprinnelig finner det.

For eksempel, hvis en sikkerhetsforsker finner et sikkerhetsproblem i noen proprietær programvare, vil de sannsynligvis rapportere det direkte til leverandøren. Alternativt, hvis sårbarheten er funnet i et program med åpen kildekode, kan forskeren åpne en ny utgave på prosjektrapporterings- eller problemer-siden.

Imidlertid, hvis en ondskapsfull person skulle finne sårbarheten først, kan de ikke gi det ut til selgeren. Når dette skjer, blir sikkerhetsforskere og -leverandører kanskje ikke klar over sårbarheten før den er det brukt som en null-dagers utnyttelse.

Hvordan vurderer sikkerhetsselskaper CVE?

En annen vurdering er hvordan sikkerhets- og teknologibedrifter vurderer CVE-er.

Sikkerhetsforskeren trekker ikke bare et tall ut av luften og tilordner det til en nylig oppdaget sårbarhet. Det er et poengrammeverk på plass som styrer sårbarhetsscoring: Common Vulnerability Scoring System (CVSS).

CVSS-skalaen er som følger:

Alvorlighetsgrad	Grunnpoeng
Ingen	0
Lav	0.1-3.9
Medium	4.0-6.9
Høy	7.0-8.9
Kritisk	9.0-10.0

For å finne ut CVSS-verdien for et sårbarhet, analyserer forskere en rekke variabler som dekker basepoengsum, tidsmessige poengsum og miljømessige poengsum.

• Basispoengsummer dekke ting som hvor utnyttbart sårbarheten er, angrepskompleksiteten, privilegiene som kreves og omfanget av sårbarheten.
• Temporal Score Metrics dekke aspekter som hvor moden utnyttelseskoden er, hvis det finnes sanering for utnyttelsen, og tilliten til rapporteringen av sårbarheten.
• Miljøverdier håndtere flere områder:
  • Metoder for utnyttbarhet: Dekker angrepsvektoren, angrepskompleksiteten, privilegiene, brukerinteraksjonskravene og omfanget.
  • Impact Metrics: Dekker innvirkning på konfidensialitet, integritet og tilgjengelighet.
  • Impact Subscore: Legger til ytterligere definisjon til Impact Metrics, som dekker konfidensialitetskrav, integritetskrav og tilgjengelighetskrav.

Nå, hvis alt dette høres litt forvirrende ut, bør du vurdere to ting. For det første er dette den tredje iterasjonen av CVSS-skalaen. Det begynte opprinnelig med basisscore før det ble lagt til påfølgende beregninger under senere revisjoner. Den nåværende versjonen er CVSS 3.1.

For det andre, for å bedre forstå hvordan CVSS betegner score, kan du bruke Nasjonal sårbarhetsdatabase CVSS-kalkulator for å se hvordan sårbarhetsberegningene samhandler.

Det er ingen tvil om at det å score en sårbarhet "etter øye" ville være ekstremt vanskelig, så en kalkulator som denne hjelper til med å levere en presis score.

Å være trygg online

Selv om Kenna Security-rapporten illustrerer at bare en liten andel av rapporterte sårbarheter blir en alvorlig trussel, er 6 prosent sjanse for utnyttelse fortsatt høy. Tenk deg om favorittstolen din hadde en sjanse på 6 til 100 for å knekke hver gang du satte deg ned. Du ville erstattet det, ikke sant?

Du har ikke de samme alternativene med internett; det er uerstattelig. Som din favorittstol, kan du imidlertid lappe den og sikre den før den blir et enda større problem. Det er fem viktige ting å gjøre for å si trygt på nettet og unngå skadelig programvare og annen utnyttelse:

1. Oppdater. Hold systemet oppdatert. Oppdateringer er den viktigste måten teknologibedrifter holder datamaskinen din sikker på, og lapper ut sårbarheter og andre feil.
2. Antivirus. Du kan lese ting på nettet som "du trenger ikke lenger et antivirus" eller "antivirus er ubrukelig." Sikker, angripere utvikler seg stadig for å unngå antivirusprogrammer, men du vil være i en langt verre situasjon uten dem. Det integrerte antivirusprogrammet på operativsystemet ditt er et flott utgangspunkt, men du kan utvide beskyttelsen din med et verktøy som Malwarebytes.
3. Lenker. Ikke klikk på dem med mindre du vet hvor de skal. Du kan inspiser en mistenkelig lenke ved hjelp av nettleserens innebygde verktøy.
4. Passord. Gjør den sterk, gjør den unik, og bruk den aldri på nytt. Det er imidlertid vanskelig å huske alle disse passordene - ingen vil argumentere mot det. Det er derfor du burde sjekk ut en passordbehandling verktøy for å hjelpe deg med å huske og bedre sikre kontoene dine.
5. Svindel. Det er mange svindel på internett. Hvis det virker for godt til å være sant, det er det sannsynligvis. Kriminelle og svindlere er dyktige til å lage swish-nettsteder med polerte deler for å gjøre deg kjent med en svindel uten å innse det. Ikke tro alt du leser på nettet.

Å være trygg på nettet trenger ikke å være en heltidsjobb, og du trenger ikke å bekymre deg hver gang du fyrer opp datamaskinen. Å ta noen få sikkerhetstrinn vil øke din online sikkerhet drastisk.

Hva er prinsippet om minst privilegium, og hvordan kan det forhindre nettangrep?

Hvor mye tilgang er for mye? Lær om prinsippet om minst privilegium og hvordan det kan bidra til å unngå uforutsette cyberangrep.

Om forfatteren