Problem polega na tym, że gdy te luki lub exploity zostaną upublicznione, w zależności od dopuszczonego przez nas przedziału czasowego, mogą one dodatkowo pomóc administratorom IT, aby dać im czas na naprawę wszelkich awarii infrastruktury lub wykorzystać cyberprzestępców do jej wykorzystania. Wada właśnie odkryta.
Ujawnianie luk w zabezpieczeniach i exploitów z biegiem czasu
W sensie Badania mąż Bezpieczeństwo Kenny’ego oraz Instytut Cyentii , przeanalizowali, w jaki sposób synchronizacja wpływa na wykrywanie luk w zabezpieczeniach lub exploitów oraz kiedy przynosi największe korzyści atakującemu lub obrońcy. W ten sposób zbadali, w jaki sposób te wspólne praktyki badaczy bezpieczeństwa mogą wpływać na ogólne bezpieczeństwo korporacyjnych sieci komputerowych. W zależności od tego, kiedy ujawnią wyniki swoich badań, mogą negatywnie lub pozytywnie wpłynąć na bezpieczeństwo naszych firm.
W raporcie przeanalizowano 473 luki wykorzystywane publicznie. Ponadto odkryto, że ujawnienie luk w zabezpieczeniach przed wydaniem zaktualizowanego kodu zwykle nie sprawia, że firmy czują, że należy pilnie zająć się tym problemem. Według Eda Bellisa, CTO firmy Kenna Security, badania pokazują, że czas wydania kodu exploita może zaburzyć równowagę na korzyść atakujących lub obrońców.
Badania pokazują również, że zdarzają się sytuacje, w których atakujący mają przewagę nad obrońcami, niezależnie od tego, kiedy łatka zostanie opublikowana. Czasami niektóre firmy nie mają czasu na zainstalowanie poprawki, zanim przestępcy zaatakują cyberprzestrzeń. Zespół badawczy dla każdej luki wykrył jej cykl życia w okresie 15 miesięcy. Tutaj mamy zbiór wszystkich sekwencji zaobserwowanych w cyklu życia podatności. Widzimy więc od jego odkrycia do ostatecznego wykorzystania.
W tym przypadku zaobserwowano, że tylko 16% tematów CVE było zgodnych z najczęstszą sekwencją, która była utrzymywana, naprawiana, skanowana, publikowana i używana. Z badań wyciągnięto inne wnioski, takie jak:
- 60% luk zostało naprawione przed oficjalnym wydaniem CVE i zredukowane do 80% po kilku dniach.
- 80% luk jest wykrywanych w aktywnym środowisku w ciągu dwóch dni od opublikowania poprawki.
Kiedy atakujący zdobywają przewagę?
O tym, jak często kod exploita był publikowany przed wydaniem łatki, zdarzyło się to w około 24% przypadków. Ponadto 10% farm miało miejsce przed wydaniem poprawki, która to poprawiła. W 70% działających CVE należy zauważyć, że kod exploita poprzedza operację.
Tylko dlatego, że poprawka jest dostępna, nie oznacza, że zostanie ona użyta. Wynika to z faktu, że firmy mają listę otwartych luk w zabezpieczeniach i radzą sobie z nimi najlepiej, jak potrafią. Z drugiej strony to, że exploit jest dostępny, nie oznacza, że atakujący natychmiast go wykorzystają. Warto również zauważyć, że czasami cyberprzestępcy mogą przeprowadzić więcej ataków niż cyberprzestępcy.
Badanie przeprowadzone przez Kenna Security i Cyentia Institute wykazało, że po opublikowaniu kodu eksploatacyjnego ten atakujący wygrywają en średnio 47 dni wcześniej do ich celów. Inną rzeczą, o której należy pamiętać, jest to, że gdy exploity zostaną wydane przed poprawkami, zespoły ds. bezpieczeństwa będą potrzebowały więcej czasu. Dlatego rozwiązanie problemu będzie bardziej skomplikowane nawet po wydaniu łatki. 15-miesięczne badanie wykazało, że atakujący mają zajęty ponad 60% czasu ten
Badania oferują mocne wskazania że terminowe ujawnienie ty kod operacji dawać korzyść pomocniczy napastnicy ten
Tak więc w ciągu około dziewięciu z piętnastu miesięcy analizowanych w tym badaniu osoby atakujące mogły szybciej wykorzystywać luki w zabezpieczeniach niż naprawiać administratorów tych sieci. Z drugiej strony obrońcy mieli tylko jedną przewagę przez sześć z wyżej wymienionych piętnastu miesięcy.
Kod funkcjonalny a wersja CVE
Jak już można wywnioskować, istnieje bardzo ścisły związek między ujawnieniem luk w zabezpieczeniach a pojawieniem się exploita. Wraz z ujawnieniem tej luki CVE, czas zaczyna płynąć, aż kod do jej wykorzystania zostanie ostatecznie wydany.
Do czasu opublikowania CVE wszystkie istotne informacje są w pełni dostępne. Tak więc atakujący i obrońcy już to mają, chociaż czasami mają już to wcześniej. Wiedza o tym, kiedy osiągnięcia pojawiają się w stosunku do daty ich wydania, może pomóc adwokatom oszacować, ile czasu mają na złagodzenie ich ujawnienia.
Tak więc dzień po publikacji ponad 50% luk ma już kod umożliwiający ich wykorzystanie. Miesiąc po wydaniu CVE 75% jest uzbrojonych. Dlatego prawnicy powinni traktować opublikowane VIC jako wskazówkę, że ich zegarek działa i muszą podjąć działania.
Znaczenie posiadania łatki dla obrońców
Niewątpliwie dostępność napraw wyznacza punkt wyjścia, od którego obrońcy mogą rozpocząć naprawę. Oto wykres przedstawiający pierwszą lukę wykrytą przez skaner w porównaniu z dostępnością łatki.
Doszliśmy do wniosku, że więcej niż 9 na 10 luk jest wykrywanych w środowisku sieciowym, gdy dostępna jest poprawka. Oznacza to, że adwokaci wiedzą, gdzie znajduje się luka w ich sieci i mają środki, aby ją naprawić za pomocą poprawki.
Ponownie sugeruje to, że skoordynowane wykrywanie luk w zabezpieczeniach działa zgodnie z planem. Zanim VEC stanie się oficjalna, a poprawka będzie dostępna, obrońcy rozpoczęli prace naprawcze. Inną kwestią jest jednak czas potrzebny na zakończenie procesu odzyskiwania. Z tego powodu ujawnianie słabości wyrównania jest obciążeniem dla obrońców. Ta sytuacja może być bardziej skomplikowana, jeśli istnieje kod exploita.
Ujawnianie odpowiedzialnej podatności
Gdy badacze odkryją lukę w zabezpieczeniach, przedstawiają jej istnienie oraz odpowiedni kod, którego użyli do jej wykorzystania. Twórca oprogramowania stworzy łatkę, która udostępni ją swoim użytkownikom. Czasami jednak programiści ci nie podejmują działań, a badacze publicznie ujawniają lukę w zabezpieczeniach. To ostatnie jest szkodliwe dla obrońców, ponieważ czas ucieka i nie ma rozwiązania.
Inne interesujące dane dostarczone przez badanie to:
- Ponad 80% luk w zabezpieczeniach, które wykorzystują, ma łatkę po wydaniu CVE.
- Tylko 6% podatności zostało wykrytych przez ponad 1/100 organizmów.
Krótko mówiąc, aby ułatwić pracę obrońcom, konieczne jest ujawnienie luk w zabezpieczeniach i odpowiedzialnej eksploatacji kodów.