Jedes Jahr veröffentlichen Sicherheits- und Technologieunternehmen Details zu Tausenden von Sicherheitslücken. Die Medien berichten ordnungsgemäß über diese Sicherheitslücken, heben die gefährlichsten Probleme hervor und beraten die Benutzer, wie sie sicher sein können.
Aber was wäre, wenn ich Ihnen sagen würde, dass von diesen Tausenden von Sicherheitslücken nur wenige in freier Wildbahn aktiv ausgenutzt werden?
Wie viele Sicherheitslücken gibt es also und entscheiden Sicherheitsunternehmen, wie schlimm eine Sicherheitslücke ist?
Wie viele Sicherheitslücken gibt es?
Kenna Security's Priorisierung der Vorhersageberichtsreihe stellten fest, dass Sicherheitsunternehmen im Jahr 2019 über 18.000 CVEs (Common Vulnerabilities and Exposures) veröffentlichten.
Während diese Zahl hoch klingt, stellte der Bericht auch fest, dass von diesen 18.000 Sicherheitslücken nur 473 "eine weitverbreitete Ausbeutung erreichten", was rund 6 Prozent der Gesamtzahl entspricht. Obwohl diese Sicherheitslücken tatsächlich über das Internet ausgenutzt wurden, bedeutet dies nicht, dass jeder Hacker und Angreifer auf der ganzen Welt sie verwendet hat.
Darüber hinaus war "Exploit-Code zum Zeitpunkt der Veröffentlichung bereits für> 50% der Sicherheitsanfälligkeiten verfügbar die CVE-Liste. "Dass der Exploit-Code bereits verfügbar war, klingt beim Nennwert alarmierend, und es handelt sich um eine Problem. Dies bedeutet jedoch auch, dass Sicherheitsforscher bereits daran arbeiten, das Problem zu beheben.
Es ist üblich, Schwachstellen innerhalb eines 30-tägigen Veröffentlichungsfensters zu beheben. Das passiert nicht immer, aber darauf arbeiten die meisten Technologieunternehmen hin.
Die folgende Tabelle zeigt weiter die Diskrepanz zwischen der Anzahl der gemeldeten CVEs und der Anzahl der tatsächlich ausgenutzten CVEs.
Rund 75 Prozent der CVEs werden von erkannt weniger als 1 von 11.000 Organisationen und nur 5,9 Prozent der CVEs werden von 1 von 100 Organisationen erkannt. Das ist ziemlich weit verbreitet.
Die obigen Daten und Zahlen finden Sie in Priorisierung bis Vorhersage Band 6: Die Kluft zwischen Angreifer und Verteidiger.
Wer weist CVEs zu?
Möglicherweise fragen Sie sich, wer zunächst einen CVE zuweist und erstellt. Nicht jeder kann einen CVE zuweisen. Derzeit sind 153 Organisationen aus 25 Ländern berechtigt, CVEs zuzuweisen.
Das bedeutet nicht, dass nur diese Unternehmen und Organisationen weltweit für die Sicherheitsforschung verantwortlich sind. In der Tat weit davon entfernt. Dies bedeutet, dass diese 153 Organisationen (kurz CVE Numbering Authorities, kurz CNAs genannt) nach einem vereinbarten Standard für die Freigabe von Sicherheitslücken in den öffentlichen Bereich arbeiten.
Es ist eine freiwillige Position. Die teilnehmenden Organisationen müssen nachweisen, dass sie in der Lage sind, die Offenlegung von Sicherheitslücken zu kontrollieren Informationen ohne Vorveröffentlichung "sowie zur Zusammenarbeit mit anderen Forschern, die Informationen über die Schwachstellen.
Es gibt drei Root-CNAs, die ganz oben in der Hierarchie stehen:
- MITRE Corporation
- Industrielle Kontrollsysteme (ICS) der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA)
- JPCERT / CC
Alle anderen CNAs berichten an eine dieser drei obersten Behörden. Bei den berichtenden CNAs handelt es sich überwiegend um Technologieunternehmen sowie Hardwareentwickler und -anbieter mit Namenserkennung wie Microsoft, AMD, Intel, Cisco, Apple, Qualcomm usw. Die vollständige CNA-Liste finden Sie auf der MITRE-Website.
Meldung von Sicherheitslücken
Die Meldung von Sicherheitsanfälligkeiten wird auch durch den Softwaretyp und die Plattform definiert, auf der sich die Sicherheitsanfälligkeit befindet. Es kommt auch darauf an, wer es anfänglich findet.
Wenn ein Sicherheitsforscher beispielsweise eine Sicherheitsanfälligkeit in einer proprietären Software feststellt, meldet er diese wahrscheinlich direkt an den Anbieter. Wenn die Sicherheitsanfälligkeit in einem Open-Source-Programm gefunden wird, kann der Forscher alternativ ein neues Problem auf der Seite "Projektberichterstattung" oder "Probleme" öffnen.
Wenn eine schändliche Person die Sicherheitsanfälligkeit jedoch zuerst findet, gibt sie sie möglicherweise nicht an den betreffenden Anbieter weiter. In diesem Fall werden Sicherheitsforscher und -anbieter möglicherweise erst dann auf die Sicherheitsanfälligkeit aufmerksam wird als Zero-Day-Exploit verwendet.
Wie bewerten Sicherheitsunternehmen CVEs?
Eine weitere Überlegung ist, wie Sicherheits- und Technologieunternehmen CVEs bewerten.
Der Sicherheitsforscher zieht nicht nur eine Nummer aus dem Nichts und weist sie einer neu entdeckten Sicherheitslücke zu. Es gibt ein Bewertungsrahmenwerk, das die Bewertung von Sicherheitslücken steuert: das Common Vulnerability Scoring System (CVSS).
Die CVSS-Skala lautet wie folgt:
| Schwere | Basispunktzahl |
|---|---|
| Keiner | 0 |
| Niedrig | 0.1-3.9 |
| Mittel | 4.0-6.9 |
| Hoch | 7.0-8.9 |
| Kritisch | 9.0-10.0 |
Um den CVSS-Wert für eine Sicherheitsanfälligkeit zu ermitteln, analysieren die Forscher eine Reihe von Variablen, die Basis-Score-Metriken, Zeit-Score-Metriken und Umgebungs-Score-Metriken abdecken.
- Basis-Score-Metriken Behandeln Sie Dinge wie die Ausnutzbarkeit der Sicherheitsanfälligkeit, die Komplexität der Angriffe, die erforderlichen Berechtigungen und den Umfang der Sicherheitsanfälligkeit.
- Zeitliche Bewertungsmetriken decken Aspekte ab, wie ausgereift der Exploit-Code ist, ob eine Korrektur für den Exploit vorhanden ist, und das Vertrauen in die Meldung der Sicherheitsanfälligkeit.
-
Umgebungsbewertungsmetriken befassen sich mit mehreren Bereichen:
- Ausnutzbarkeitsmetriken: Abdeckung des Angriffsvektors, der Angriffskomplexität, der Berechtigungen, der Anforderungen an die Benutzerinteraktion und des Umfangs.
- Auswirkungsmetriken: Abdeckung der Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.
- Impact Subscore: Fügt den Auswirkungsmetriken eine weitere Definition hinzu, die Vertraulichkeitsanforderungen, Integritätsanforderungen und Verfügbarkeitsanforderungen abdeckt.
Wenn das alles etwas verwirrend klingt, sollten Sie zwei Dinge berücksichtigen. Erstens ist dies die dritte Iteration der CVSS-Skala. Es begann zunächst mit dem Basis-Score, bevor die nachfolgenden Metriken bei späteren Überarbeitungen hinzugefügt wurden. Die aktuelle Version ist CVSS 3.1.
Zweitens können Sie die verwenden, um besser zu verstehen, wie CVSS die Punktzahlen bezeichnet CVSS-Rechner der National Vulnerability Database um zu sehen, wie die Schwachstellenmetriken interagieren.
Es besteht kein Zweifel, dass es äußerst schwierig wäre, eine Sicherheitsanfälligkeit "mit dem Auge" zu bewerten. Ein solcher Taschenrechner hilft daher dabei, eine genaue Punktzahl zu erzielen.
Online sicher bleiben
Obwohl der Kenna-Sicherheitsbericht zeigt, dass nur ein kleiner Teil der gemeldeten Sicherheitslücken eine ernsthafte Bedrohung darstellt, ist die Wahrscheinlichkeit einer Ausbeutung von 6 Prozent immer noch hoch. Stellen Sie sich vor, Ihr Lieblingsstuhl hätte eine 6: 100-Chance, jedes Mal zu brechen, wenn Sie sich hinsetzten. Sie würden es ersetzen, richtig?
Sie haben nicht die gleichen Optionen mit dem Internet; es ist unersetzlich. Wie bei Ihrem Lieblingsstuhl können Sie ihn jedoch flicken und sichern, bevor er zu einem noch größeren Problem wird. Es gibt fünf wichtige Dinge, die Sie tun müssen, um online sicher zu sein und Malware und andere Exploits zu vermeiden:
- Aktualisieren. Halten Sie Ihr System auf dem neuesten Stand. Updates sind die erste Möglichkeit, wie Tech-Unternehmen Ihren Computer schützen und Schwachstellen und andere Mängel beheben.
- Antivirus. Möglicherweise lesen Sie online Dinge wie "Sie benötigen kein Antivirus mehr" oder "Antivirus ist nutzlos". Sicher, Angreifer entwickeln sich ständig weiter, um Antivirenprogrammen auszuweichen, aber ohne wären Sie in einer weitaus schlimmeren Situation Sie. Das in Ihr Betriebssystem integrierte Antivirenprogramm ist ein guter Ausgangspunkt, aber Sie können Ihren Schutz mit einem Tool wie Malwarebytes erweitern.
- Links. Klicken Sie nicht auf sie, es sei denn, Sie wissen, wohin sie gehen. Sie können Überprüfen Sie einen verdächtigen Link Verwenden Sie die integrierten Tools Ihres Browsers.
- Passwort. Machen Sie es stark, machen Sie es einzigartig und verwenden Sie es nie wieder. Es ist jedoch schwierig, sich all diese Passwörter zu merken - niemand würde dagegen argumentieren. Deshalb solltest du Überprüfen Sie einen Passwort-Manager Tool, mit dem Sie sich Ihre Konten merken und besser sichern können.
- Betrug. Es gibt viele Betrügereien im Internet. Wenn es zu schön scheint, um wahr zu sein, es ist wahrscheinlich. Kriminelle und Betrüger sind geschickt darin, Swish-Websites mit polierten Teilen zu erstellen, um Sie durch einen Betrug zu führen, ohne es zu merken. Glauben Sie nicht alles, was Sie online lesen.
Online sicher zu sein, muss kein Vollzeitjob sein, und Sie müssen sich nicht jedes Mal Sorgen machen, wenn Sie Ihren Computer starten. Wenn Sie einige Sicherheitsmaßnahmen ergreifen, wird Ihre Online-Sicherheit drastisch erhöht.
Wie viel Zugang ist zu viel? Erfahren Sie mehr über das Prinzip der geringsten Privilegien und wie es dazu beitragen kann, unvorhergesehene Cyberangriffe zu vermeiden.
- Technologie erklärt
- Sicherheit
- Betrug
- Online-Sicherheit
- Antivirus
- Malware
- Hintertür
Gavin ist der Junior Editor für Windows and Technology Explained, der regelmäßig Beiträge zum Really Useful Podcast verfasst, und war Editor für MakeUseOfs kryptofokussierte Schwestersite Blocks Decoded. Er hat einen BA (Hons) für zeitgenössisches Schreiben mit Praktiken der digitalen Kunst, die aus den Hügeln von Devon geplündert wurden, sowie über ein Jahrzehnt Berufserfahrung im Schreiben. Er genießt reichlich Tee, Brettspiele und Fußball.
Abonniere unseren Newsletter
Abonnieren Sie unseren Newsletter für technische Tipps, Rezensionen, kostenlose E-Books und exklusive Angebote!
Noch ein Schritt…!
Bitte bestätigen Sie Ihre E-Mail-Adresse in der E-Mail, die wir Ihnen gerade gesendet haben.
