Odvozovat od počtu zranitelností bezpečnost dané platformy je nesmysl

jokerKaždý OS, aplikace, služba, zařízení obsahuje nějakou tu díru čekající na své objevení a zneužití.

A nejde ani tak o to, jak jsou ony zranitelnosti závažné, ale především jak dlouho bylo otevřeno okno příležitosti, a zda ho někdo zneužil. Jenže tuhle podstatnou skutečnost většina statistik vůbec nezachycuje.

On vůbec je to s těm statistikami trochu ošemetné, protože ne každá zranitelnost je zveřejněna, a ne každé zranitelnosti je přiděleno nějaké CVE. Je tomu tak proto, že CVE může být přiděleno jen zranitelnosti, kterou reportuje CNA, kterým se může stát jen významný vendor disponující početnou uživatelskou základnou.

Detailní informace ohledně zranitelnosti, které bylo přiděleno CVE číslo, je pak možné dohledat na stránkách NVD (The U.S. National Vulnerability Database, zkr. NVD). Na stránkách NVD rovněž nalezneme i hodnocení dané zranitelnosti podle metodiky CVSS (Common Vulnerability Scoring System), která je popsána na stránkách FIRST (Forum of Incident Response and Security Teams, zkr. FIRST).

Kromě této mezinárodně uznávané databáze zranitelností jsou i další DB, především pak konzultačních firem a SW vendorů. Problém je, že mnohdy je nejasné, jak vlastně je zranitelnost započítávána, protože v okamžiku, kdy je objevena zranitelnost v nějaké knihovně, tak pak je zpravidla i ve všech zařízeních a aplikacích, které ji využívají.

Počty zranitelností uváděných nejrůznějšími vendory se značně liší, a to až o několik tisíc. Asi je vám už jasné, že jestliže jsou nejrůznější infografiky a prohlášení ohledně bezpečnosti vybraných produktů postaveny právě na počtu zranitelností, tak jsou značně zavádějící.

V zásadě je i jedno, o jaký operační systém nebo aplikaci se jedná, a zda je k dispozici zdrojový kód nebo ne, protože ony jsou těmi dírami vesměs všechny produkty prolezlé skrz naskrz.

Když se podíváte např. na seznam 50 produktů s největším počtem zranitelností. Jsou zde v zásadě uvedeny všechny nejpoužívanější OS, prohlížeče a další aplikace, takže si asi moc nepomůžete, pokud se rozhodnete přejít na jinou platformu nebo začít používat jinou aplikaci.

Pravdou je, že nejvíce zranitelností bude celkem logicky nadále hledáno a nacházeno v nejpoužívanějších OS, aplikacích, webových službách a zařízeních, neb tam bude vždy dostatečný počet potenciálních obětí, a nedělejme si iluze, že by se na tom mělo v dohledné době něco podstatného změnit.

A pokud zde budou navíc ještě firmy obchodující s exploity, jako že budou, tak potom musíme počítat s tím, že určité zero-day zranitelnosti budou zneužívány i po dobu několika týdnů, měsíců až let k cíleným útokům na konkrétní subjekty.

A pokud snad dojde ke zveřejnění určité zranitelnosti, tak se kód zneužívající této zranitelnosti poměrně rychle stane součástí běžných exploit kitů, což dosavadní zkušenosti rovněž potvrzují.

Jisté je, že běžný uživatel nebude před sofistikovanými útoky zneužívajícími zero-day zranitelností chráněn minimálně do doby, než antivirové společnosti zaktualizují své signatury a to bude nejspíš i nadále trvat několik hodin až dnů, což opět vyvolává otázku, komu zveřejnění detailních informací ohledně zranitelnosti pomůže.

Závěr: Bez ohledu na použitou platformu byste měli zvážit nasazení nějakého HIPS, které je schopno detekovat podezřelé aktivity na koncovém zařízení a rovněž i NBA řešení detekující anomálie na síti, protože nové hrozby využívající zranitelností nultého dne a technik sociálního inženýrství se pomalu ale jistě stávají realitou všedního dne.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Odvozovat od počtu zranitelností bezpečnost dané platformy je nesmysl” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: