כמה פגיעויות אבטחה יש וכיצד הן מוערכות?

מדי שנה חברות אבטחה וטכנולוגיה מפרסמות פרטים על אלפי נקודות תורפה. התקשורת מדווחת כדין על נקודות תורפה אלה, ומדגישה את הנושאים המסוכנים ביותר ומייעצת למשתמשים כיצד להישאר בטוחים.

אבל מה אם אגיד לך שמבין אלפי הפגיעות האלה, מעטים מנוצלים באופן פעיל בטבע?

אז כמה פגיעויות אבטחה יש, והאם חברות אבטחה מחליטות עד כמה פגיעות היא גרועה?

כמה פגיעויות אבטחה יש?

קנה אבטחה עדיפות לסדרת דוחות חיזוי גילו שבשנת 2019 חברות אבטחה פרסמו למעלה מ- 18,000 קורות חיים (Common Vulnerabilities and Exposures).

נתון זה אמנם נשמע גבוה, אך הדו"ח מצא גם כי מתוך 18,000 הפגיעות הללו רק 473 "הגיעו לניצול נרחב", שהם כשישה אחוזים מכלל הפגיעות. למרות שפרצות אלו אכן נוצלו ברחבי האינטרנט, אין זה אומר שכל האקר ותוקף ברחבי העולם השתמש בהן.

יתר על כן, "קוד ניצול כבר היה זמין עבור> 50% מהפגיעות עד שפרסמו רשימת CVE. "שקוד הניצול כבר היה זמין נשמע מדאיג בערך נקוב, וזהו נושא. עם זאת, המשמעות היא גם שחוקרי אבטחה כבר עובדים על תיקון הנושא.

הנוהג המקובל הוא תיקון פרצות בתוך חלון פרסום של 30 יום. זה לא תמיד קורה, אבל זה מה שרוב חברות הטכנולוגיה עובדות לקראתו.

התרשים שלהלן ממחיש עוד יותר את הפער בין מספר קורות החיים המדווחים לבין המספר המנוצל בפועל.

כ- 75 אחוזים מ- CVE מזוהים על ידי פחות מ 1 מכל 11,000 ארגונים, ורק 5.9 אחוזים מ- CVE מזוהים על ידי 1 מכל 100 ארגונים. זה די התפשטות.

תוכל למצוא את הנתונים והנתונים הנ"ל בסדר העדיפויות לחיזוי 6: מחלוקת התוקף והמגן.

מי מקצה קורות חיים?

יתכן ותוהה מי מקצה ויוצר CVE מלכתחילה. לא סתם מישהו יכול להקצות קורות חיים. כיום פועלים 153 ארגונים מ -25 מדינות המורשים להקצות קורות חיים.

זה לא אומר שרק חברות וארגונים אלה אחראים על מחקר אבטחה ברחבי העולם. למעשה רחוק מזה. המשמעות היא ש- 153 הארגונים הללו (המכונים CVE Numbering Authorities, או בקיצור CNA) פועלים על פי תקן מוסכם לשחרור נקודות תורפה לרשות הרבים.

זו תפקיד התנדבותי. על הארגונים המשתתפים להפגין את "היכולת לשלוט בחשיפת הפגיעות מידע ללא פרסום מראש ", כמו גם לעבוד עם חוקרים אחרים המבקשים מידע על ה- פגיעויות.

ישנם שלושה CNAs שורש, שיושבים בראש ההיררכיה:

• תאגיד MITER
• הסוכנות לאבטחת סייבר ותשתיות אבטחה (CISA) מערכות בקרה תעשייתיות (ICS)
• JPCERT / CC

כל שאר ה- CNA מדווחים לאחת משלוש הרשויות העליונות הללו. רשתות ה- CNA המדווחות הן בעיקר חברות טכנולוגיה ומפתחי חומרה וספקים עם זיהוי שמות, כגון מיקרוסופט, AMD, אינטל, סיסקו, אפל, קוואלקום וכו '. רשימת ה- CNA המלאה זמינה באתר אתר MITER.

דיווח על פגיעות

דיווח על פגיעות מוגדר גם לפי סוג התוכנה והפלטפורמה בה נמצאת הפגיעות. זה תלוי גם מי מוצא אותו בתחילה.

לדוגמא, אם חוקר אבטחה ימצא פגיעות בתוכנה קניינית כלשהי, הם עשויים לדווח על כך ישירות לספק. לחלופין, אם הפגיעות נמצאת בתכנית קוד פתוח, החוקר עשוי לפתוח בעיה חדשה בדף הדיווחים או הבעיות.

עם זאת, אם אדם מזיק היה מוצא את הפגיעות תחילה, הוא עלול שלא לחשוף אותה בפני הספק המדובר. כאשר זה קורה, ייתכן שחוקרי אבטחה וספקים לא יתוודעו לפגיעות עד אשר כן משמש כניצול של אפס יום.

כיצד חברות אבטחה מדרגות CVE?

שיקול נוסף הוא כיצד חברות אבטחה וטכנולוגיה מדרגות CVE.

חוקר האבטחה לא סתם מוציא מספר מהאוויר ומקצה אותו לפגיעות שזה עתה התגלתה. ישנה מסגרת ניקוד שמנחה ציון פגיעות: מערכת ניקוד הפגיעות המשותפת (CVSS).

סולם CVSS הוא כדלקמן:

חוּמרָה	ציון בסיס
אף אחד	0
נָמוּך	0.1-3.9
בינוני	4.0-6.9
גָבוֹהַ	7.0-8.9
קריטי	9.0-10.0

כדי להבין את ערך ה- CVSS עבור פגיעות, החוקרים מנתחים סדרה של משתנים המכסים מדדי ציון בסיס, מדדי ציון זמני ומדדי ציון סביבתי.

• מדדי ציון הבסיס לכסות דברים כמו מידת הניצול של הפגיעות, מורכבות ההתקפה, ההרשאות הנדרשות והיקף הפגיעות.
• מדדי ציון זמני לכסות היבטים כמו עד כמה קוד הניצול בוגר, אם קיים תיקון לניצול, ואת האמון בדיווח על הפגיעות.
• מדדי ציון סביבתי להתמודד עם מספר תחומים:
  • מדדי ניצול: כיסוי וקטור ההתקפה, מורכבות ההתקפה, ההרשאות, דרישות האינטראקציה של המשתמש והיקפו.
  • מדדי השפעה: כיסוי ההשפעה על סודיות, יושרה וזמינות.
  • תת השפעה: מוסיף הגדרה נוספת למדדי ההשפעה, המכסה דרישות סודיות, דרישות שלמות ודרישות זמינות.

עכשיו, אם כל זה נשמע מעט מבלבל, שקול שני דברים. ראשית, זהו איטרציה שלישית בסולם CVSS. תחילה זה התחיל עם ציון הבסיס לפני שהוסיף את המדדים הבאים במהלך הגרסאות המאוחרות יותר. הגרסה הנוכחית היא CVSS 3.1.

שנית, כדי להבין טוב יותר כיצד CVSS מכנה ציונים, אתה יכול להשתמש ב- מחשבון CVSS ממאגר הפגיעות הלאומי כדי לראות כיצד מדדי הפגיעות מתקשרים.

אין ספק שציון פגיעות "בעין" יהיה קשה ביותר, ולכן מחשבון כזה עוזר לספק ציון מדויק.

להישאר בטוח באינטרנט

למרות שדוח האבטחה של קנה ממחיש שרק חלק קטן מהפגיעות המדווחות הופכות לאיום רציני, הסיכוי לניצול של 6 אחוזים עדיין גבוה. תאר לעצמך אם לכיסא האהוב עליך יש סיכוי של 6 ל -100 להישבר בכל פעם שישבת. היית מחליף אותו, נכון?

אין לך אותן אפשרויות עם האינטרנט; זה בלתי ניתן להחלפה. עם זאת, כמו הכיסא המועדף עליכם, תוכלו לתקן אותו ולאבטח אותו לפני שהוא הופך לנושא גדול עוד יותר. יש חמישה דברים חשובים לעשות כדי להגיד בטוח באינטרנט ולהימנע מתוכנות זדוניות ומעללים אחרים:

1. עדכון. עדכן את המערכת שלך. עדכונים הם הדרך הטובה ביותר שחברות טכנולוגיה שומרות על בטיחות המחשב שלך, מדביקים פגיעויות ופגמים אחרים.
2. אנטי-וירוס. ייתכן שתקרא דברים באינטרנט כגון "אינך זקוק עוד לאנטי-וירוס" או "אנטי-וירוס אינו חסר תועלת." בטוח, התוקפים מתפתחים כל הזמן כדי להתחמק מתוכניות אנטי-וירוס, אבל אתה תהיה במצב גרוע בהרבה בלי אוֹתָם. האנטי-וירוס המשולב במערכת ההפעלה שלך הוא נקודת התחלה מצוינת, אך תוכל להגדיל את ההגנה שלך בעזרת כלי כמו Malwarebytes.
3. קישורים. אל תלחץ עליהם אלא אם כן אתה יודע לאן הם הולכים. אתה יכול לבדוק קישור חשוד באמצעות הכלים המובנים של הדפדפן.
4. סיסמה. הפוך אותו לחזק, הפוך אותו לייחודי ולעולם לא יעשה בו שימוש חוזר. עם זאת, קשה לזכור את כל הסיסמאות האלה - אף אחד לא יתווכח נגד זה. לכן כדאי לכם לבדוק את מנהל הסיסמאות כלי שיעזור לך לזכור ולאבטח טוב יותר את חשבונותיך.
5. הונאות. יש הרבה הונאות באינטרנט. אם זה נראה טוב מכדי להיות אמיתי, זה כנראה. פושעים ורמאים מיומנים ביצירת אתרי אינטרנט סוויש עם חלקים מלוטשים כדי להעביר אותך באמצעות הונאה מבלי להבין זאת. אל תאמין לכל מה שאתה קורא באינטרנט.

שמירה על בטיחות באינטרנט אינה חייבת להיות עבודה במשרה מלאה, ואינך צריך לדאוג בכל פעם שאתה מפעיל את המחשב. נקיטת כמה פעולות אבטחה תחזק באופן דרסטי את האבטחה המקוונת שלך.

מהו עקרון הפריבילגיה הקטנה ביותר ואיך זה יכול למנוע מתקפות סייבר?

כמה גישה היא יותר מדי? למד על עקרון הפחות זכות וכיצד הוא יכול לסייע במניעת מתקפות סייבר בלתי צפויות.

על הסופר