Elk jaar publiceren beveiligings- en technologiebedrijven details van duizenden kwetsbaarheden. De media rapporteren naar behoren over die kwetsbaarheden, benadrukken de gevaarlijkste problemen en adviseren gebruikers over hoe ze veilig kunnen blijven.

Maar wat als ik u vertel dat van die duizenden kwetsbaarheden er maar weinig actief in het wild worden uitgebuit?

Dus hoeveel beveiligingsproblemen zijn er en beslissen beveiligingsbedrijven hoe erg een kwetsbaarheid is?

Hoeveel beveiligingsproblemen zijn er?

Kenna Security's Prioriteit toekennen aan reeks voorspellingsrapporten ontdekte dat beveiligingsbedrijven in 2019 meer dan 18.000 CVE's (Common Vulnerabilities and Exposures) publiceerden.

Hoewel dat cijfer hoog klinkt, ontdekte het rapport ook dat van die 18.000 kwetsbaarheden slechts 473 "wijdverspreide uitbuiting bereikten", wat ongeveer 6 procent van het totaal is. Hoewel deze kwetsbaarheden inderdaad via internet werden uitgebuit, betekent dat niet dat elke hacker en aanvaller over de hele wereld ze gebruikte.

instagram viewer

Bovendien was "exploitcode al beschikbaar voor> 50% van de kwetsbaarheden op het moment dat ze publiceerden de CVE-lijst. "Dat de exploit-code al beschikbaar was, klinkt op het eerste gezicht alarmerend, en het is een kwestie. Het betekent echter ook dat beveiligingsonderzoekers al bezig zijn met het patchen van het probleem.

Het is gebruikelijk om kwetsbaarheden binnen 30 dagen na publicatie te patchen. Dat gebeurt niet altijd, maar het is waar de meeste techbedrijven naartoe werken.

De onderstaande grafiek illustreert verder de discrepantie tussen het aantal gerapporteerde CVE's en het aantal daadwerkelijk uitgebuite.

Ongeveer 75 procent van de CVE's wordt gedetecteerd door minder dan 1 op de 11.000 organisaties en slechts 5,9 procent van de CVE's wordt gedetecteerd door 1 op de 100 organisaties. Dat is nogal een spreiding.

U kunt de bovenstaande gegevens en cijfers vinden in Prioritization to Prediction Volume 6: The Attacker-Defender Divide.

Wie wijst CVE's toe?

U vraagt ​​zich misschien af ​​wie een CVE toewijst en maakt om mee te beginnen. Niet iedereen kan een CVE toewijzen. Momenteel zijn 153 organisaties uit 25 landen bevoegd om CVE's toe te wijzen.

Dat betekent niet dat alleen deze bedrijven en organisaties verantwoordelijk zijn voor beveiligingsonderzoek over de hele wereld. In feite verre van. Het betekent dat deze 153 organisaties (bekend als CVE Numbering Authorities of kortweg CNA's) werken volgens een overeengekomen standaard voor het vrijgeven van kwetsbaarheden in het publieke domein.

Het is een vrijwillige functie. De deelnemende organisaties moeten aantonen "in staat te zijn de openbaarmaking van kwetsbaarheden te beheersen informatie zonder voorpublicatie, "en om samen te werken met andere onderzoekers die informatie over de kwetsbaarheden.

Er zijn drie root-CNA's, die bovenaan de hiërarchie staan:

  • MITRE Corporation
  • Cybersecurity and Infrastructure Security Agency (CISA) Industrial Control Systems (ICS)
  • JPCERT / CC

Alle andere CNA's rapporteren aan een van deze drie hoogste autoriteiten. De rapporterende CNA's zijn voornamelijk technologiebedrijven en hardwareontwikkelaars en leveranciers met naamsbekendheid, zoals Microsoft, AMD, Intel, Cisco, Apple, Qualcomm, enzovoort. De volledige CNA-lijst is beschikbaar op de MITRE website.

Rapportage van kwetsbaarheden

Kwetsbaarheidsrapportage wordt ook bepaald door het type software en het platform waarop de kwetsbaarheid wordt aangetroffen. Het hangt ook af van wie het in eerste instantie vindt.

Als een beveiligingsonderzoeker bijvoorbeeld een kwetsbaarheid ontdekt in bepaalde propriëtaire software, zal hij dit waarschijnlijk rechtstreeks aan de leverancier melden. Als alternatief, als de kwetsbaarheid wordt gevonden in een open-sourceprogramma, kan de onderzoeker een nieuw probleem openen op de pagina met projectrapportage of problemen.

Als een snode persoon de kwetsbaarheid echter eerst zou vinden, zou hij deze mogelijk niet aan de betreffende verkoper bekendmaken. Wanneer dit gebeurt, worden beveiligingsonderzoekers en -verkopers mogelijk pas bewust van de kwetsbaarheid als dit het geval is gebruikt als een zero-day exploit.

Hoe beoordelen beveiligingsbedrijven CVE's?

Een andere overweging is hoe beveiligings- en technologiebedrijven CVE's beoordelen.

De beveiligingsonderzoeker haalt niet zomaar een nummer uit de lucht en wijst het toe aan een nieuw ontdekte kwetsbaarheid. Er is een scoreframework dat de kwetsbaarheidsscoring begeleidt: het Common Vulnerability Scoring System (CVSS).

De CVSS-schaal is als volgt:

Ernst Basisscore
Geen 0
Laag 0.1-3.9
Medium 4.0-6.9
Hoog 7.0-8.9
Kritisch 9.0-10.0

Om de CVSS-waarde voor een kwetsbaarheid te achterhalen, analyseren onderzoekers een reeks variabelen die betrekking hebben op Base Score Metrics, Temporal Score Metrics en Environmental Score Metrics.

  • Basisscore-statistieken hebben betrekking op zaken als hoe misbruikbaar de kwetsbaarheid is, de complexiteit van de aanval, de vereiste bevoegdheden en de omvang van de kwetsbaarheid.
  • Temporele scorestatistieken aspecten behandelen zoals hoe volwassen de exploitcode is, of herstel voor de exploit bestaat, en het vertrouwen in de rapportage van de kwetsbaarheid.
  • Metrische milieuscore behandelen verschillende gebieden:
    • Metrische gegevens over misbruik: Dekt de aanvalsvector, aanvalscomplexiteit, bevoegdheden, vereisten voor gebruikersinteractie en reikwijdte.
    • Impactstatistieken: De impact op vertrouwelijkheid, integriteit en beschikbaarheid dekken.
    • Impact Subscore: Voegt een verdere definitie toe aan de Impact Metrics, die betrekking heeft op vertrouwelijkheidsvereisten, integriteitsvereisten en beschikbaarheidsvereisten.

Nu, als dat allemaal een beetje verwarrend klinkt, overweeg dan twee dingen. Ten eerste is dit de derde iteratie van de CVSS-schaal. Het begon aanvankelijk met de basisscore voordat de volgende statistieken werden toegevoegd tijdens latere revisies. De huidige versie is CVSS 3.1.

Ten tweede, om beter te begrijpen hoe CVSS scores aangeeft, kunt u de Nationale kwetsbaarheidsdatabase CVSS-calculator om te zien hoe de kwetsbaarheidsstatistieken samenwerken.

Het lijdt geen twijfel dat het scoren van een kwetsbaarheid "met het oog" buitengewoon moeilijk zou zijn, dus een rekenmachine als deze helpt bij het verkrijgen van een nauwkeurige score.

Online veilig blijven

Hoewel het Kenna Security-rapport illustreert dat slechts een klein deel van de gerapporteerde kwetsbaarheden een ernstige bedreiging wordt, is de kans op uitbuiting 6 procent nog steeds hoog. Stel je voor dat je favoriete stoel een kans van 6 op 100 had om te breken elke keer dat je ging zitten. Je zou het toch vervangen?

Je hebt niet dezelfde opties met internet; het is onvervangbaar. Net als uw favoriete stoel, kunt u deze echter opknappen en vastzetten voordat het een nog groter probleem wordt. Er zijn vijf belangrijke dingen die u moet doen om veilig online te zijn en om malware en andere exploits te vermijden:

  1. Bijwerken. Houd uw systeem up-to-date. Updates zijn dé manier waarop technologiebedrijven uw computer veilig houden en kwetsbaarheden en andere tekortkomingen verhelpen.
  2. Antivirus. Je zou dingen online kunnen lezen zoals "je hebt geen antivirus meer nodig" of "antivirus is nutteloos". Zeker, aanvallers evolueren voortdurend om antivirusprogramma's te ontwijken, maar zonder hen. De geïntegreerde antivirus op uw besturingssysteem is een goed startpunt, maar u kunt uw bescherming uitbreiden met een tool als Malwarebytes.
  3. Links. Klik er pas op als u weet waar ze heen gaan. Jij kan inspecteer een verdachte link met behulp van de ingebouwde tools van uw browser.
  4. Wachtwoord. Maak het sterk, maak het uniek en gebruik het nooit opnieuw. Het is echter moeilijk om al die wachtwoorden te onthouden - daar zou niemand tegen ingaan. Daarom zou je dat moeten doen bekijk een wachtwoordbeheerder hulpmiddel om u te helpen uw accounts te onthouden en beter te beveiligen.
  5. Oplichting. Er zijn veel oplichting op internet. Als het te mooi lijkt om waar te zijn, het is waarschijnlijk. Criminelen en oplichters zijn bedreven in het maken van swish-websites met gepolijste onderdelen om u door een scam te loodsen zonder het te beseffen. Geloof niet alles wat u online leest.

Online veilig blijven hoeft geen fulltime baan te zijn en u hoeft zich geen zorgen te maken elke keer dat u uw computer opstart. Het nemen van een paar beveiligingsstappen zal uw online beveiliging drastisch verbeteren.

E-mail
Wat is het principe van Least Privilege en hoe kan het cyberaanvallen voorkomen?

Hoeveel toegang is teveel? Lees meer over het principe van de minste rechten en hoe het onvoorziene cyberaanvallen kan helpen voorkomen.

Gerelateerde onderwerpen
  • Technologie verklaard
  • Veiligheid
  • Oplichting
  • Online beveiliging
  • Antivirus
  • Malware
  • Achterdeur
Over de auteur
Gavin Phillips (742 Artikelen gepubliceerd)

Gavin is de Junior Editor voor Windows en Technology Explained, levert regelmatig bijdragen aan de Really Useful Podcast en was de Editor voor MakeUseOf's cryptogerichte zustersite Blocks Decoded. Hij heeft een BA (Hons) Contemporary Writing with Digital Art Practices geplunderd in de heuvels van Devon, evenals meer dan een decennium aan professionele schrijfervaring. Hij geniet van overvloedige hoeveelheden thee, bordspellen en voetbal.

Meer van Gavin Phillips

Abonneer op onze nieuwsbrief

Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!

Nog een stap…!

Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.

.