Ogni anno, le società di sicurezza e tecnologia pubblicano i dettagli di migliaia di vulnerabilità. I media riportano debitamente queste vulnerabilità, evidenziando le questioni più pericolose e consigliando agli utenti come stare al sicuro.

Ma cosa succede se ti dicessi che di quelle migliaia di vulnerabilità, poche sono attivamente sfruttate in natura?

Quindi quante vulnerabilità di sicurezza ci sono e le società di sicurezza decidono quanto sia grave una vulnerabilità?

Quante vulnerabilità di sicurezza ci sono?

Kenna Security's Priorità alla serie di rapporti di previsione ha scoperto che nel 2019 le società di sicurezza hanno pubblicato oltre 18.000 CVE (Common Vulnerabilities and Exposures).

Sebbene questa cifra sembri alta, il rapporto ha anche rilevato che, di quelle 18.000 vulnerabilità, solo 473 "hanno raggiunto uno sfruttamento diffuso", che è circa il 6% del totale. Sebbene queste vulnerabilità fossero effettivamente sfruttate su Internet, ciò non significa che tutti gli hacker e gli aggressori in tutto il mondo le stessero utilizzando.

instagram viewer

Inoltre, "il codice di exploit era già disponibile per oltre il 50% delle vulnerabilità al momento della pubblicazione l'elenco CVE. "Che il codice di exploit fosse già disponibile suona allarmante al valore nominale, ed è un file problema. Tuttavia, significa anche che i ricercatori sulla sicurezza stanno già lavorando per risolvere il problema.

La pratica comune è applicare le patch alle vulnerabilità entro una finestra di pubblicazione di 30 giorni. Non sempre ciò accade, ma è ciò per cui la maggior parte delle aziende tecnologiche lavora.

Il grafico seguente illustra ulteriormente la discrepanza tra il numero di CVE segnalati e il numero effettivamente sfruttato.

Circa il 75% delle CVE viene rilevato da meno di 1 su 11.000 organizzazioni e solo il 5,9% delle CVE vengono rilevate da 1 su 100 organizzazioni. Questa è abbastanza la diffusione.

Puoi trovare i dati e le cifre sopra riportati in Prioritization to Prediction Volume 6: The Attacker-Defender Divide.

Chi assegna CVE?

Forse ti starai chiedendo chi assegna e crea un CVE per cominciare. Non solo chiunque può assegnare un CVE. Attualmente ci sono 153 organizzazioni di 25 paesi autorizzate ad assegnare CVE.

Ciò non significa che solo queste società e organizzazioni siano responsabili della ricerca sulla sicurezza in tutto il mondo. Anzi, tutt'altro. Ciò significa che queste 153 organizzazioni (note come CVE Numbering Authorities, o CNA in breve) lavorano secondo uno standard concordato per il rilascio di vulnerabilità nel dominio pubblico.

È una posizione volontaria. Le organizzazioni partecipanti devono dimostrare la "capacità di controllare la divulgazione della vulnerabilità informazioni senza pre-pubblicazione ", nonché per collaborare con altri ricercatori che richiedono informazioni su vulnerabilità.

Esistono tre Root CNA, che si trovano in cima alla gerarchia:

  • MITRE Corporation
  • Cybersecurity and Infrastructure Security Agency (CISA) Industrial Control Systems (ICS)
  • JPCERT / CC

Tutti gli altri CNA riferiscono a una di queste tre autorità di primo livello. I CNA segnalanti sono prevalentemente aziende tecnologiche e sviluppatori e fornitori di hardware con riconoscimento del nome, come Microsoft, AMD, Intel, Cisco, Apple, Qualcomm e così via. L'elenco completo dei CNA è disponibile su Sito web MITRE.

Segnalazione delle vulnerabilità

Il reporting delle vulnerabilità è definito anche dal tipo di software e dalla piattaforma su cui si trova la vulnerabilità. Dipende anche da chi lo trova inizialmente.

Ad esempio, se un ricercatore di sicurezza rileva una vulnerabilità in un software proprietario, è probabile che la riferisca direttamente al fornitore. In alternativa, se la vulnerabilità viene rilevata in un programma open source, il ricercatore potrebbe aprire un nuovo problema nella pagina dei rapporti o dei problemi del progetto.

Tuttavia, se una persona malvagia scoprisse per prima la vulnerabilità, potrebbe non rivelarla al venditore in questione. Quando ciò accade, i ricercatori e i fornitori di sicurezza potrebbero non rendersi conto della vulnerabilità fino a quando non lo è utilizzato come exploit zero-day.

Come valutano i CVE le società di sicurezza?

Un'altra considerazione è il modo in cui le società di sicurezza e tecnologia valutano i CVE.

Il ricercatore di sicurezza non si limita a tirare fuori un numero dal nulla e lo assegna a una vulnerabilità scoperta di recente. Esiste un framework di punteggio che guida il punteggio di vulnerabilità: il Common Vulnerability Scoring System (CVSS).

La scala CVSS è la seguente:

Gravità Punteggio di base
Nessuna 0
Basso 0.1-3.9
medio 4.0-6.9
Alto 7.0-8.9
Critico 9.0-10.0

Per calcolare il valore CVSS per una vulnerabilità, i ricercatori analizzano una serie di variabili che coprono le metriche del punteggio di base, le metriche del punteggio temporale e le metriche del punteggio ambientale.

  • Metriche del punteggio di base coprire aspetti come quanto sia sfruttabile la vulnerabilità, la complessità dell'attacco, i privilegi richiesti e la portata della vulnerabilità.
  • Metriche del punteggio temporale coprire aspetti come il grado di maturità del codice di exploit, se esiste un rimedio per l'exploit e la fiducia nella segnalazione della vulnerabilità.
  • Metriche del punteggio ambientale trattare diverse aree:
    • Metriche di sfruttamento: Coprendo il vettore di attacco, la complessità dell'attacco, i privilegi, i requisiti di interazione dell'utente e l'ambito.
    • Metriche di impatto: Copertura dell'impatto su riservatezza, integrità e disponibilità.
    • Sottoscrizione impatto: Aggiunge un'ulteriore definizione alle metriche di impatto, coprendo requisiti di riservatezza, requisiti di integrità e requisiti di disponibilità.

Ora, se tutto ciò suona un po 'confuso, considera due cose. Innanzitutto, questa è la terza iterazione della scala CVSS. Inizialmente è iniziato con il punteggio di base prima di aggiungere le metriche successive durante le revisioni successive. La versione attuale è CVSS 3.1.

In secondo luogo, per capire meglio come CVSS denomina i punteggi, puoi utilizzare il Calcolatore CVSS del database nazionale delle vulnerabilità per vedere come interagiscono le metriche di vulnerabilità.

Non c'è dubbio che valutare una vulnerabilità "a occhio" sarebbe estremamente difficile, quindi una calcolatrice come questa aiuta a fornire un punteggio preciso.

Rimanere al sicuro online

Anche se il rapporto di Kenna Security mostra che solo una piccola percentuale delle vulnerabilità segnalate diventa una seria minaccia, una probabilità del 6% di sfruttamento è ancora alta. Immagina se la tua sedia preferita avesse 6 probabilità su 100 di rompersi ogni volta che ti siedi. Lo sostituiresti, vero?

Non hai le stesse opzioni con Internet; è insostituibile. Tuttavia, come la tua sedia preferita, puoi ripararla e fissarla prima che diventi un problema ancora più grande. Ci sono cinque cose importanti da fare per dire sicuro online ed evitare malware e altri exploit:

  1. Aggiornare. Mantieni aggiornato il tuo sistema. Gli aggiornamenti sono il modo in cui le aziende tecnologiche mantengono il tuo computer al sicuro, correggendo vulnerabilità e altri difetti.
  2. Antivirus. Potresti leggere cose online come "non hai più bisogno di un antivirus" o "l'antivirus è inutile". Sicuro, gli aggressori si evolvono costantemente per eludere i programmi antivirus, ma senza loro. L'antivirus integrato nel tuo sistema operativo è un ottimo punto di partenza, ma puoi potenziare la tua protezione con uno strumento come Malwarebytes.
  3. Collegamenti. Non fare clic su di essi a meno che tu non sappia dove stanno andando. Puoi ispezionare un collegamento sospetto utilizzando gli strumenti integrati del tuo browser.
  4. Parola d'ordine. Rendilo forte, rendilo unico e non riutilizzarlo mai. Tuttavia, ricordare tutte quelle password è difficile: nessuno lo contrasterebbe. Ecco perché dovresti controlla un gestore di password strumento per aiutarti a ricordare e proteggere meglio i tuoi account.
  5. Fregature. Ci sono molte truffe su Internet. Se sembra troppo bello per essere vero, probabilmente lo è. Criminali e truffatori sono abili nel creare siti Web frizzanti con parti lucide per farti passare una truffa senza rendersene conto. Non credere a tutto ciò che leggi online.

Rimanere al sicuro online non deve essere un lavoro a tempo pieno e non devi preoccuparti ogni volta che accendi il computer. L'adozione di alcune misure di sicurezza aumenterà drasticamente la tua sicurezza online.

E-mail
Qual è il principio del minimo privilegio e come può prevenire gli attacchi informatici?

Quanto accesso è troppo? Scopri il principio del privilegio minimo e come può aiutare a evitare attacchi informatici imprevisti.

Argomenti correlati
  • Spiegazione della tecnologia
  • Sicurezza
  • Fregature
  • Sicurezza in linea
  • Antivirus
  • Malware
  • Porta sul retro
Circa l'autore
Gavin Phillips (742 articoli pubblicati)

Gavin è il Junior Editor per Windows e Technology Explained, un collaboratore regolare di Really useful Podcast, ed è stato l'editor per il sito gemello criptato di MakeUseOf, Blocks Decoded. Ha conseguito un BA (Hons) in scrittura contemporanea con pratiche di arte digitale saccheggiate dalle colline del Devon, oltre a oltre un decennio di esperienza di scrittura professionale. Ama abbondanti quantità di tè, giochi da tavolo e calcio.

Altro di Gavin Phillips

Iscriviti alla nostra Newsletter

Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!

Ancora un passo…!

Conferma il tuo indirizzo e-mail nell'e-mail che ti abbiamo appena inviato.

.