Сколько существует уязвимостей в системе безопасности и как они оцениваются?

Дядя Влад

Каждый год охранные и технологические компании публикуют подробную информацию о тысячах уязвимостей. СМИ должным образом сообщают об этих уязвимостях, выделяя наиболее опасные проблемы и давая советы пользователям, как оставаться в безопасности.

Но что, если я скажу вам, что из этих тысяч уязвимостей немногие активно используются в дикой природе?

Итак, сколько существует уязвимостей в системе безопасности, и решают ли охранные компании, насколько серьезна уязвимость?

Сколько существует уязвимостей в системе безопасности?

В серии отчетов Kenna Security о приоритетах для прогнозирования установлено, что в 2019 году охранные компании опубликовали более 18000 CVE (распространенных уязвимостей и уязвимостей).

Хотя эта цифра кажется завышенной, в отчете также указано, что из этих 18 000 уязвимостей только 473 «достигли широкого распространения», что составляет около 6 процентов от общего числа. Хотя эти уязвимости действительно использовались в Интернете, это не означает, что все хакеры и злоумышленники во всем мире использовали их.

Более того, «код эксплойта уже был доступен для> 50% уязвимостей к тому времени, когда они были опубликованы в списке CVE». То, что код эксплойта уже был доступен, звучит настораживающе на первый взгляд, и это проблема. Однако это также означает, что исследователи безопасности уже работают над исправлением проблемы.

Обычной практикой является исправление уязвимостей в течение 30-дневного периода после публикации. Это не всегда происходит, но это то, к чему стремятся большинство технологических компаний.

Приведенная ниже диаграмма дополнительно иллюстрирует несоответствие между количеством зарегистрированных CVE и количеством фактически использованных.

Около 75 процентов CVE выявляются менее чем в 1 из 11 000 организаций, и только 5,9 процента CVE выявляются в 1 из 100 организаций. Это довольно большой разброс.

Вы можете найти приведенные выше данные и цифры в Приоритезации для прогнозов, том 6: Разделение между атакующим и защитником.

Кто назначает CVE?

Вам может быть интересно, кто для начала назначает и создает CVE. Не каждый может присвоить CVE. В настоящее время 153 организации из 25 стран имеют право назначать CVE.

Это не означает, что только эти компании и организации несут ответственность за исследования в области безопасности во всем мире. На самом деле, это далеко не так. Это означает, что эти 153 организации (известные как органы нумерации CVE или сокращенно CNA) работают в соответствии с согласованным стандартом для публикации уязвимостей в открытом доступе.

Это добровольная позиция. Участвующие организации должны продемонстрировать «способность контролировать раскрытие информации об уязвимостях без предварительной публикации», а также работать с другими исследователями, которые запрашивают информацию об уязвимостях.

Есть три корневых CNA, которые находятся на вершине иерархии:

  • Корпорация MITRE
  • Агентство по кибербезопасности и безопасности инфраструктуры (CISA) Системы промышленного контроля (ICS)
  • JPCERT / CC

Все остальные CNA подчиняются одному из этих трех высших органов власти. Подотчетные CNA – это преимущественно технологические компании, разработчики и поставщики оборудования с известными именами, такие как Microsoft, AMD, Intel, Cisco, Apple, Qualcomm и т. Д. Полный список CNA доступен на сайте MITRE .

Отчет об уязвимостях

Отчеты об уязвимостях также зависят от типа программного обеспечения и платформы, на которой обнаружена уязвимость. Это также зависит от того, кто его изначально находит.

Например, если исследователь безопасности обнаружит уязвимость в каком-то несвободном программном обеспечении, он, скорее всего, сообщит об этом напрямую поставщику. В качестве альтернативы, если уязвимость обнаружена в программе с открытым исходным кодом, исследователь может открыть новую проблему на странице отчетов по проекту или на странице проблем.

Однако, если злой человек первым обнаружит уязвимость, он может не раскрыть ее соответствующему поставщику. Когда это происходит, исследователи и поставщики безопасности могут не узнать об уязвимости, пока она не будет использована в качестве эксплойта нулевого дня .

Как охранные компании оценивают CVE?

Еще одно соображение заключается в том, как охранные и технологические компании оценивают CVE.

Исследователь безопасности не просто извлекает число из воздуха и относит его к недавно обнаруженной уязвимости. Существует система оценки уязвимостей: система оценки общих уязвимостей (CVSS).

Шкала CVSS выглядит следующим образом:

Строгость Базовая оценка
Никто 0
Низкий 0,1-3,9
Середина 4,0-6,9
Высоко 7,0-8,9
Критический 9,0-10,0

Чтобы определить значение CVSS для уязвимости, исследователи анализируют ряд переменных, охватывающих метрики базовой оценки, метрики временной оценки и метрики экологической оценки.

  • Базовые метрики оценки охватывают такие вещи, как степень использования уязвимости, сложность атаки, требуемые привилегии и масштаб уязвимости.
  • Метрики временной оценки охватывают такие аспекты, как степень зрелости кода эксплойта, наличие средств для исправления эксплойта и степень достоверности сообщения об уязвимости.
  • Показатели экологической оценки охватывают несколько областей:
    • Показатели уязвимости: охват вектора атаки, сложности атаки, привилегий, требований к взаимодействию с пользователем и области действия.
    • Показатели воздействия: охват влияния на конфиденциальность, целостность и доступность.
    • Дополнительная оценка воздействия: добавляет дополнительное определение к метрикам воздействия, охватывающее требования конфиденциальности, требования целостности и требования доступности.

Теперь, если все это звучит немного запутанно, рассмотрим две вещи. Во-первых, это третья итерация шкалы CVSS. Первоначально он начинался с базовой оценки, а затем добавлялись последующие метрики при последующих изменениях. Текущая версия – CVSS 3.1.

Во-вторых, чтобы лучше понять, как CVSS определяет оценки, вы можете использовать Калькулятор CVSS национальной базы данных уязвимостей, чтобы увидеть, как взаимодействуют показатели уязвимостей.

Нет сомнений в том, что оценка уязвимости «на глаз» будет чрезвычайно сложной, поэтому такой калькулятор помогает получить точную оценку.

Безопасность в Интернете

Несмотря на то, что отчет Kenna Security показывает, что лишь небольшая часть обнаруженных уязвимостей становится серьезной угрозой, 6-процентная вероятность использования все еще высока. Представьте, что ваш любимый стул имеет 6 из 100 шансов сломаться каждый раз, когда вы садитесь. Вы бы заменили его, верно?

У вас нет тех же возможностей с Интернетом; это незаменимо. Однако, как и ваш любимый стул, вы можете заделать его и закрепить, прежде чем это станет еще большей проблемой. Чтобы обезопасить себя в Интернете и избежать вредоносных программ и других эксплойтов, нужно сделать пять важных вещей:

  1. Обновлять. Держите свою систему в актуальном состоянии. Обновления – это способ номер один, которым технические компании обеспечивают безопасность вашего компьютера, устраняя уязвимости и другие недостатки.
  2. Антивирус. Вы можете прочитать в Интернете такие вещи, как «вам больше не нужен антивирус» или «антивирус бесполезен». Конечно, злоумышленники постоянно развиваются, чтобы уклоняться от антивирусных программ, но без них вы были бы в гораздо худшей ситуации. Встроенный антивирус в вашу операционную систему – отличная отправная точка, но вы можете усилить защиту с помощью такого инструмента, как Malwarebytes.
  3. Ссылки . Не нажимайте на них, если не знаете, куда они направляются. Вы можете проверить подозрительную ссылку, используя встроенные инструменты вашего браузера.
  4. Пароль. Сделайте его сильным, уникальным и никогда не используйте повторно. Однако запомнить все эти пароли сложно – с этим никто не спорит. Вот почему вам следует попробовать инструмент менеджера паролей , который поможет вам запомнить и лучше защитить свои учетные записи.
  5. Мошенничество. В Интернете много мошенников. Если это кажется слишком хорошим, чтобы быть правдой, вероятно , так оно и есть . Преступники и мошенники умеют создавать шикарные веб-сайты с отшлифованными частями, чтобы обмануть вас, даже не подозревая об этом. Не верьте всему, что читаете в Интернете.

Обеспечение безопасности в Интернете не обязательно должно быть постоянной работой, и вам не нужно беспокоиться каждый раз, когда вы включаете свой компьютер. Принятие нескольких мер безопасности значительно повысит вашу безопасность в Интернете.