Varje år publicerar säkerhets- och teknikföretag information om tusentals sårbarheter. Medierna rapporterar vederbörligen om dessa sårbarheter och lyfter fram de farligaste problemen och ger råd om hur de ska vara säkra.

Men tänk om jag sa till dig att av de tusentals sårbarheterna är det få som utnyttjas aktivt i naturen?

Så hur många säkerhetssårbarheter finns det och bestämmer säkerhetsföretag hur dålig en sårbarhet är?

Hur många säkerhetsproblem finns det?

Kenna Security Prioritering till Prediction Report Series fann att säkerhetsföretag under 2019 publicerade över 18 000 CVE: er (vanliga sårbarheter och exponeringar).

Även om den siffran låter hög, fann rapporten också att av de 18 000 sårbarheterna endast 473 "nådde ett omfattande utnyttjande", vilket är cirka 6 procent av den totala. Även om dessa sårbarheter verkligen utnyttjades över internet betyder det inte att alla hackare och angripare runt om i världen använde dem.

Dessutom var "exploateringskod redan tillgänglig för> 50% av sårbarheterna när de publicerade till CVE-listan. "Att exploateringskoden redan fanns tillgänglig låter alarmerande till nominellt värde, och det är ett problem. Det betyder dock också att säkerhetsforskare redan arbetar med att lappa problemet.

instagram viewer

Vanlig praxis är att korrigera sårbarheter inom ett 30-dagars publiceringsfönster. Det händer inte alltid, men det är vad de flesta teknikföretag arbetar för.

Diagrammet nedan illustrerar ytterligare avvikelsen mellan antalet rapporterade CVE och antalet som faktiskt utnyttjas.

Cirka 75 procent av CVE: n upptäcks av mindre än 1 av 11 000 organisationer och bara 5,9 procent av CVE upptäcks av 1 av 100 organisationer. Det är ganska spridningen.

Du hittar ovanstående data och siffror i Prioritering till förutsägelse Volym 6: Attacker-Defender Divide.

Vem tilldelar CVE: er?

Du kanske undrar vem som tilldelar och skapar en CVE till att börja med. Inte bara någon kan tilldela en CVE. Det finns för närvarande 153 organisationer från 25 länder som är behöriga att tilldela CVE.

Det betyder inte att bara dessa företag och organisationer ansvarar för säkerhetsforskning runt om i världen. I själva verket långt ifrån det. Vad det betyder är att dessa 153 organisationer (kända som CVE-nummermyndigheter, eller kort CNA: er) arbetar efter en överenskommen standard för att frigöra sårbarheter i det offentliga området.

Det är en frivillig position. De deltagande organisationerna måste visa förmågan att kontrollera avslöjandet av sårbarhet information utan förpublicering, "samt att arbeta med andra forskare som begär information om sårbarheter.

Det finns tre rot-CNA som sitter högst upp i hierarkin:

  • MITER Corporation
  • Cybersecurity and Infrastructure Security Agency (CISA) Industrial Control Systems (ICS)
  • JPCERT / CC

Alla andra CNA rapporterar till en av dessa tre högsta myndigheter. De rapporterande CNA: erna är övervägande tekniska företag och hårdvaruutvecklare och leverantörer med namnigenkänning, såsom Microsoft, AMD, Intel, Cisco, Apple, Qualcomm och så vidare. Den fullständiga CNA-listan finns på MITER webbplats.

Rapporter om sårbarhet

Sårbarhetsrapportering definieras också av vilken typ av programvara och vilken plattform sårbarheten finns på. Det beror också på vem som först hittar det.

Till exempel, om en säkerhetsforskare hittar en sårbarhet i någon egen programvara, kommer de troligen att rapportera det till säljaren direkt. Alternativt, om sårbarheten finns i ett program med öppen källkod, kan forskaren öppna en ny fråga på projektrapporterings- eller frågesidan.

Men om en illvillig person skulle hitta sårbarheten först, kan de kanske inte avslöja den för leverantören i fråga. När detta händer kanske säkerhetsforskare och leverantörer inte blir medvetna om sårbarheten förrän det är används som en noll-dagars exploatering.

Hur betygsätter säkerhetsföretag CVE?

Ett annat övervägande är hur säkerhets- och teknikföretag värderar CVE.

Säkerhetsforskaren drar inte bara ett nummer ur luften och tilldelar det till en nyligen upptäckt sårbarhet. Det finns ett poängram som styr sårbarhetspoäng: Common Vulnerability Scoring System (CVSS).

CVSS-skalan är som följer:

Allvarlighetsgrad Baspoäng
Ingen 0
Låg 0.1-3.9
Medium 4.0-6.9
Hög 7.0-8.9
Kritisk 9.0-10.0

För att räkna ut CVSS-värdet för en sårbarhet analyserar forskare en serie variabler som täcker baspoängmätvärden, temporala poängmätvärden och miljövärden.

  • Basvärden täcka saker som hur exploaterbar sårbarheten är, attackens komplexitet, de behörigheter som krävs och omfattningen av sårbarheten.
  • Temporal Score Metrics täcka aspekter som hur mogen exploateringskoden är, om det finns sanering för exploateringen, och förtroendet för rapporteringen av sårbarheten.
  • Miljömätvärden hantera flera områden:
    • Mätvärden för utnyttjbarhet: Täcker attackvektorn, attackens komplexitet, behörigheter, användarinteraktionskrav och omfattning.
    • Effektmätvärden: Täcker inverkan på konfidentialitet, integritet och tillgänglighet.
    • Impact Subscore: Lägger till ytterligare definition i Impact Metrics, som täcker sekretesskrav, integritetskrav och tillgänglighetskrav.

Om allt detta låter lite förvirrande, överväg två saker. För det första är detta den tredje iterationen av CVSS-skalan. Det började ursprungligen med baspoängen innan de efterföljande mätvärdena läggs till under senare versioner. Den nuvarande versionen är CVSS 3.1.

För det andra, för att bättre förstå hur CVSS betecknar poäng, kan du använda Nationell sårbarhetsdatabas CVSS-kalkylator för att se hur sårbarhetsstatistiken interagerar.

Det råder ingen tvekan om att det är extremt svårt att göra en sårbarhet "i ögat", så en miniräknare hjälper till att ge en exakt poäng.

Att vara säker online

Även om Kenna Security-rapporten illustrerar att endast en liten del av rapporterade sårbarheter blir ett allvarligt hot, är chansen för exploatering fortfarande 6 procent hög. Tänk dig om din favoritstol hade en chans på 6 av 100 att gå sönder varje gång du satte dig ner. Du skulle ersätta det, eller hur?

Du har inte samma alternativ med internet; det är oersättligt. Liksom din favoritstol kan du dock lappa upp den och säkra den innan den blir en ännu större fråga. Det finns fem viktiga saker att göra för att säga säkert online och undvika skadlig kod och andra utnyttjanden:

  1. Uppdatering. Håll ditt system uppdaterat. Uppdateringar är det främsta sättet teknologiföretag håller din dator säker och korrigerar sårbarheter och andra brister.
  2. Antivirus. Du kan läsa saker på nätet som "du behöver inte längre ett antivirusprogram" eller "antivirusprogrammet är värdelöst." Säker, angripare utvecklas ständigt för att undvika antivirusprogram, men du skulle vara i en mycket sämre situation utan dem. Det integrerade antivirusprogrammet i ditt operativsystem är en bra utgångspunkt, men du kan utöka ditt skydd med ett verktyg som Malwarebytes.
  3. Länkar. Klicka inte på dem om du inte vet vart de ska. Du kan inspektera en misstänkt länk med din webbläsares inbyggda verktyg.
  4. Lösenord. Gör den stark, gör den unik och återanvänd den aldrig. Men att komma ihåg alla dessa lösenord är svårt - ingen skulle argumentera emot det. Det är därför du borde kolla in en lösenordshanterare verktyg som hjälper dig att komma ihåg och bättre säkra dina konton.
  5. Bedrägerier. Det finns många bedrägerier på internet. Om det verkar för bra för att vara sant, det är det förmodligen. Brottslingar och bedragare är skickliga på att skapa swish-webbplatser med polerade delar för att vem som helst genom en bluff utan att inse det. Tro inte på allt du läser online.

Att vara säker online behöver inte vara ett heltidsjobb och du behöver inte oroa dig varje gång du startar din dator. Att ta några säkerhetssteg kommer att öka din online-säkerhet drastiskt.

E-post
Vad är principen om minst privilegium och hur kan det förhindra cyberattacker?

Hur mycket tillgång är för mycket? Lär dig om principen om minst privilegium och hur det kan hjälpa till att undvika oförutsedda cyberattacker.

Relaterade ämnen
  • Teknik förklaras
  • säkerhet
  • Bedrägerier
  • Onlinesäkerhet
  • Antivirus
  • Skadlig programvara
  • Bakdörr
Om författaren
Gavin Phillips (742 publicerade artiklar)

Gavin är Junior Editor för Windows och Technology Explained, en regelbunden bidragsgivare till den riktigt användbara podcasten och var redaktör för MakeUseOfs kryptofokuserade systersida, Blocks Decoded. Han har en BA (Hons) samtida skrivning med digital konstpraxis som plundras från Devons kullar, samt över ett decennium av professionell skriverfarenhet. Han gillar stora mängder te, brädspel och fotboll.

Mer från Gavin Phillips

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Ett steg till…!

Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.

.