Güvenlik ve teknoloji şirketleri her yıl binlerce güvenlik açığının ayrıntılarını yayınlar. Medya bu güvenlik açıklarını gerektiği gibi rapor eder, en tehlikeli sorunları vurgular ve kullanıcılara nasıl güvende kalacakları konusunda tavsiyelerde bulunur.

Peki ya size bu binlerce güvenlik açığından çok azının aktif olarak vahşi ortamda istismar edildiğini söyleseydim?

Peki, kaç tane güvenlik açığı var ve güvenlik şirketleri bir güvenlik açığının ne kadar kötü olduğuna karar veriyor mu?

Kaç Güvenlik Açığı Vardır?

Kenna Güvenliği Tahmin Rapor Serisine Önceliklendirme 2019'da güvenlik şirketlerinin 18.000'den fazla CVE (Ortak Güvenlik Açıkları ve Maruziyetler) yayınladığını buldu.

Bu rakam kulağa yüksek gelse de, rapor aynı zamanda bu 18.000 güvenlik açığından yalnızca 473'ünün "yaygın kullanıma ulaştığını" ve bu da toplamın yaklaşık yüzde 6'sı olduğunu buldu. Bu güvenlik açıklarından gerçekten de internet üzerinden yararlanılıyor olsa da, bu dünyadaki her hacker ve saldırganın bunları kullandığı anlamına gelmez.

instagram viewer

Dahası, "yararlanma kodu, güvenlik açıklarının% 50'den fazlası için zaten mevcuttu. CVE listesi. "Yararlanma kodunun halihazırda mevcut olması, göründüğü kadarıyla endişe verici geliyor ve bir sorun. Bununla birlikte, bu aynı zamanda güvenlik araştırmacılarının sorunu düzeltmek için zaten çalıştıkları anlamına da geliyor.

Yaygın uygulama, 30 günlük yayın süresi içinde güvenlik açıklarını düzeltmektir. Bu her zaman olmaz, ancak çoğu teknoloji şirketinin çalıştığı şey budur.

Aşağıdaki tablo, rapor edilen CVE'lerin sayısı ile gerçekte istismar edilen sayı arasındaki tutarsızlığı daha fazla göstermektedir.

CVE'lerin yaklaşık yüzde 75'i tarafından tespit ediliyor daha az 11.000 kuruluştan 1'i ve CVE'lerin yalnızca yüzde 5,9'u 100 kuruluştan 1'i tarafından tespit edilmektedir. Bu oldukça yayılma.

Yukarıdaki verileri ve rakamları Tahmine Öncelik Verme Cilt 6: Saldırgan-Savunan Bölünmesi'nde bulabilirsiniz.

CVE'leri Kim Atar?

Başlamak için kimin bir CVE atadığını ve oluşturduğunu merak ediyor olabilirsiniz. Sadece herkes bir CVE atayamaz. Şu anda 25 ülkeden CVE atama yetkisine sahip 153 kuruluş var.

Bu, yalnızca bu şirketlerin ve kuruluşların dünya çapında güvenlik araştırmalarından sorumlu olduğu anlamına gelmez. Aslında ondan çok uzak. Bunun anlamı, bu 153 kuruluşun (CVE Numaralandırma Yetkilileri veya kısaca CNA'lar olarak bilinir) güvenlik açıklarının kamuya açık hale getirilmesi için üzerinde anlaşılan bir standarda göre çalışmasıdır.

Gönüllü bir pozisyon. Katılımcı kuruluşlar, "güvenlik açığının açığa çıkmasını kontrol etme becerisini göstermelidir önceden yayınlamadan "bilgi" ve ayrıca bilgi isteyen diğer araştırmacılarla birlikte çalışmak güvenlik açıkları.

Hiyerarşinin en üstünde yer alan üç Kök CNA vardır:

  • MITRE Corporation
  • Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Endüstriyel Kontrol Sistemleri (ICS)
  • JPCERT / CC

Diğer tüm CNA'lar bu üç üst düzey yetkiliden birine rapor verir. Raporlama CNA'ları ağırlıklı olarak teknoloji şirketleri ve donanım geliştiricileri ve Microsoft, AMD, Intel, Cisco, Apple, Qualcomm vb. Gibi ad tanımalı satıcılardır. Tam CNA listesi şu adreste mevcuttur: MITER web sitesi.

Güvenlik Açığı Raporlaması

Güvenlik açığı raporlaması, yazılımın türüne ve güvenlik açığının bulunduğu platforma göre de tanımlanır. Aynı zamanda onu kimin bulduğuna da bağlıdır.

Örneğin, bir güvenlik araştırmacısı bazı özel mülk yazılımlarda bir güvenlik açığı bulursa, bunu doğrudan satıcıya bildirme olasılığı yüksektir. Alternatif olarak, güvenlik açığı açık kaynaklı bir programda bulunursa, araştırmacı proje raporlama veya sorunlar sayfasında yeni bir sorun açabilir.

Ancak, kötü niyetli bir kişi güvenlik açığını ilk olarak bulursa, söz konusu satıcıya bunu açıklamayabilir. Bu gerçekleştiğinde, güvenlik araştırmacıları ve satıcıları, güvenlik açığının farkına varmayabilir. sıfır gün istismarı olarak kullanılır.

Güvenlik Şirketleri CVE'leri Nasıl Değerlendiriyor?

Dikkate alınması gereken bir diğer husus, güvenlik ve teknoloji şirketlerinin CVE'leri nasıl değerlendirdiği.

Güvenlik araştırmacısı, sadece bir sayıyı havadan çekip yeni keşfedilen bir güvenlik açığına atamaz. Güvenlik açığı puanlamasına rehberlik eden bir puanlama çerçevesi vardır: Ortak Güvenlik Açığı Puanlama Sistemi (CVSS).

CVSS ölçeği aşağıdaki gibidir:

Ciddiyet Temel Puan
Yok 0
Düşük 0.1-3.9
Orta 4.0-6.9
Yüksek 7.0-8.9
Kritik 9.0-10.0

Bir güvenlik açığının CVSS değerini bulmak için araştırmacılar, Temel Puan Metrikleri, Zamansal Puan Metrikleri ve Çevresel Puan Metriklerini kapsayan bir dizi değişkeni analiz eder.

  • Temel Puan Metrikleri güvenlik açığından ne kadar yararlanılabilir olduğu, saldırının karmaşıklığı, gerekli ayrıcalıklar ve güvenlik açığının kapsamı gibi konuları kapsar.
  • Geçici Puan Metrikleri Kötüye kullanım için bir düzeltme varsa, yararlanma kodunun ne kadar olgun olduğu ve güvenlik açığının raporlanmasına duyulan güven gibi hususları kapsar.
  • Çevresel Puan Metrikleri birkaç alanla ilgilenin:
    • Yararlanma Ölçütleri: Saldırı vektörünü, saldırı karmaşıklığını, ayrıcalıkları, kullanıcı etkileşimi gereksinimlerini ve kapsamı kapsar.
    • Etki Metrikleri: Gizlilik, bütünlük ve kullanılabilirlik üzerindeki etkiyi kapsar.
    • Etki Alt Puanı: Gizlilik gereksinimlerini, bütünlük gereksinimlerini ve kullanılabilirlik gereksinimlerini kapsayan Etki Metriklerine daha fazla tanım ekler.

Şimdi, bunların hepsi biraz kafa karıştırıcı geliyorsa, iki şeyi düşünün. Birincisi, bu CVSS ölçeğinin üçüncü yinelemesidir. Başlangıçta, sonraki revizyonlarda sonraki ölçümleri eklemeden önce Temel Puanla başladı. Mevcut sürüm CVSS 3.1'dir.

İkinci olarak, CVSS'nin puanları nasıl ifade ettiğini daha iyi anlamak için, Ulusal Güvenlik Açığı Veritabanı CVSS Hesaplayıcısı güvenlik açığı ölçümlerinin nasıl etkileşim kurduğunu görmek için.

Hiç şüphe yok ki, bir güvenlik açığını "gözle" puanlamak son derece zor olacaktır, bu nedenle bunun gibi bir hesap makinesi kesin bir puan vermenize yardımcı olur.

Çevrimiçi Güvende Kalmak

Kenna Güvenlik raporu, rapor edilen güvenlik açıklarının yalnızca küçük bir kısmının ciddi bir tehdit haline geldiğini gösterse de, yüzde 6'lık bir sömürü şansı hala yüksektir. En sevdiğiniz sandalyenin her oturduğunuzda 100'de 6 kırılma şansı olduğunu hayal edin. Değiştireceksin, değil mi?

İnternet ile aynı seçeneklere sahip değilsiniz; yeri doldurulamaz. Bununla birlikte, en sevdiğiniz sandalyeniz gibi, daha da büyük bir sorun haline gelmeden önce onu düzeltebilir ve sabitleyebilirsiniz. Çevrimiçi ortamda güvenli demek ve kötü amaçlı yazılımlardan ve diğer istismarlardan kaçınmak için yapılacak beş önemli şey vardır:

  1. Güncelleme. Sisteminizi güncel tutun. Güncellemeler, teknoloji şirketlerinin bilgisayarınızı güvende tutmanın, güvenlik açıklarını ve diğer kusurları ortadan kaldırmanın bir numaralı yoludur.
  2. Antivirüs. Çevrimiçi ortamda "artık bir antivirüs programına ihtiyacınız yok" veya "antivirüs işe yaramaz" gibi şeyler okuyabilirsiniz. Elbette, saldırganlar sürekli olarak antivirüs programlarından kaçmak için gelişir, ancak onları. İşletim sisteminizdeki entegre antivirüs harika bir başlangıç ​​noktasıdır, ancak korumanızı Malwarebytes gibi bir araçla artırabilirsiniz.
  3. Bağlantılar. Nereye gittiklerini bilmiyorsanız tıklamayın. Yapabilirsin şüpheli bir bağlantıyı incelemek tarayıcınızın dahili araçlarını kullanarak.
  4. Parola. Güçlü yapın, benzersiz yapın ve asla yeniden kullanmayın. Ancak, tüm bu şifreleri hatırlamak zordur - kimse buna karşı çıkmaz. Bu yüzden yapmalısın bir şifre yöneticisine bakın hesaplarınızı hatırlamanıza ve daha iyi güvence altına almanıza yardımcı olacak bir araç.
  5. Dolandırıcılar. İnternette çok sayıda dolandırıcılık var. Gerçek olamayacak kadar iyi görünüyorsa muhtemelen. Suçlular ve dolandırıcılar, farkına varmadan sizi bir aldatmaca ile boğmak için cilalı parçaları olan şık web siteleri oluşturma konusunda ustadırlar. Çevrimiçi okuduğunuz her şeye inanmayın.

Çevrimiçi ortamda güvende kalmak tam zamanlı bir iş olmak zorunda değildir ve bilgisayarınızı her çalıştırdığınızda endişelenmenize gerek yoktur. Birkaç güvenlik adımı atmak, çevrimiçi güvenliğinizi büyük ölçüde artıracaktır.

E-posta adresi
En Az Ayrıcalık İlkesi Nedir ve Siber Saldırıları Nasıl Önleyebilir?

Ne kadar erişim çok fazla? En az ayrıcalık ilkesi ve bunun öngörülemeyen siber saldırılardan kaçınmaya nasıl yardımcı olabileceği hakkında bilgi edinin.

İlgili konular
  • Teknoloji Açıklaması
  • Güvenlik
  • Dolandırıcılar
  • Çevrimiçi Güvenlik
  • Antivirüs
  • Kötü amaçlı yazılım
  • Arka kapı
Yazar hakkında
Gavin Phillips (742 Makale Yayınlandı)

Gavin, Really Useful Podcast'e düzenli olarak katkıda bulunan Windows and Technology Explained için Junior Editor ve MakeUseOf'un kripto odaklı kardeş sitesi Blocks Decoded'in Editörüydü. Devon tepelerinden yağmalanmış Dijital Sanat Uygulamaları ile BA (Hons) Çağdaş Yazma ve on yılı aşkın profesyonel yazma deneyimine sahiptir. Bol miktarda çay, masa oyunları ve futboldan hoşlanır.

Gavin Phillips'dan Daha Fazla

Haber bültenimize abone ol

Teknoloji ipuçları, incelemeler, ücretsiz e-kitaplar ve özel fırsatlar için haber bültenimize katılın!

Bir adım daha…!

Lütfen size az önce gönderdiğimiz e-postadaki e-posta adresinizi onaylayın.

.