Todos os anos, empresas de segurança e tecnologia publicam detalhes de milhares de vulnerabilidades. A mídia informa devidamente sobre essas vulnerabilidades, destacando os problemas mais perigosos e aconselhando os usuários sobre como se manter seguro.

Mas e se eu lhe dissesse que, dentre essas milhares de vulnerabilidades, poucas são exploradas ativamente na natureza?

Então, quantas vulnerabilidades de segurança existem e as empresas de segurança decidem o quão ruim é uma vulnerabilidade?

Quantas vulnerabilidades de segurança existem?

Kenna Security Priorização para série de relatórios de previsão descobriram que, em 2019, as empresas de segurança publicaram mais de 18.000 CVEs (Common Vulnerabilities and Exposures).

Embora esse número pareça alto, o relatório também descobriu que, dessas 18.000 vulnerabilidades, apenas 473 "alcançaram a exploração generalizada", o que representa cerca de 6% do total. Embora essas vulnerabilidades estivessem realmente sendo exploradas na Internet, isso não significa que todos os hackers e atacantes em todo o mundo as estavam usando.

Além disso, "o código de exploração já estava disponível para> 50% das vulnerabilidades no momento em que foram publicadas em a lista CVE. "O fato de o código de exploração já estar disponível soa alarmante à primeira vista, e é um emitir. No entanto, também significa que os pesquisadores de segurança já estão trabalhando para corrigir o problema.

A prática comum é corrigir vulnerabilidades em uma janela de publicação de 30 dias. Isso nem sempre acontece, mas é o objetivo da maioria das empresas de tecnologia.

O gráfico abaixo ilustra ainda mais a discrepância entre o número de CVEs relatados e o número realmente explorado.

Cerca de 75 por cento dos CVEs são detectados por Menor que 1 em 11.000 organizações e apenas 5,9 por cento dos CVEs são detectados por 1 em 100 organizações. Essa é a extensão.

Você pode encontrar os dados e números acima em Priorização para Predição, Volume 6: A Divisão Atacante-Defensor.

Quem atribui CVEs?

Você pode estar se perguntando quem atribui e cria um CVE para começar. Nem qualquer pessoa pode atribuir um CVE. Existem atualmente 153 organizações de 25 países autorizadas a atribuir CVEs.

Isso não significa que apenas essas empresas e organizações são responsáveis ​​pela pesquisa de segurança em todo o mundo. Longe disso, na verdade. Isso significa que essas 153 organizações (conhecidas como CVE Numbering Authorities, ou CNAs, para abreviar) trabalham de acordo com um padrão acordado para a liberação de vulnerabilidades para o domínio público.

É uma posição voluntária. As organizações participantes devem demonstrar a "capacidade de controlar a divulgação de vulnerabilidade informações sem pré-publicação ", bem como trabalhar com outros pesquisadores que solicitem informações sobre o vulnerabilidades.

Existem três CNAs raiz, que ficam no topo da hierarquia:

  • MITER Corporation
  • Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) Sistemas de Controle Industrial (ICS)
  • JPCERT / CC

Todos os outros CNAs se reportam a uma dessas três autoridades de nível superior. Os CNAs de relatórios são predominantemente empresas de tecnologia e desenvolvedores de hardware e fornecedores com reconhecimento de nome, como Microsoft, AMD, Intel, Cisco, Apple, Qualcomm e assim por diante. A lista completa do CNA está disponível no Site do MITER.

Relatório de vulnerabilidade

O relatório de vulnerabilidade também é definido pelo tipo de software e pela plataforma em que a vulnerabilidade é encontrada. Também depende de quem o encontra inicialmente.

Por exemplo, se um pesquisador de segurança encontrar uma vulnerabilidade em algum software proprietário, é provável que ele a relate diretamente ao fornecedor. Como alternativa, se a vulnerabilidade for encontrada em um programa de código aberto, o pesquisador pode abrir um novo problema na página de relatórios ou problemas do projeto.

No entanto, se uma pessoa nefasta descobrir a vulnerabilidade primeiro, eles podem não divulgá-la ao fornecedor em questão. Quando isso acontece, os pesquisadores e fornecedores de segurança podem não ficar cientes da vulnerabilidade até que seja usado como um exploit de dia zero.

Como as empresas de segurança classificam os CVEs?

Outra consideração é como as empresas de segurança e tecnologia classificam os CVEs.

O pesquisador de segurança não apenas tira um número do nada e atribui a uma vulnerabilidade recém-descoberta. Há uma estrutura de pontuação em vigor que orienta a pontuação de vulnerabilidade: o Common Vulnerability Scoring System (CVSS).

A escala CVSS é a seguinte:

Gravidade Pontuação Base
Nenhum 0
Baixo 0.1-3.9
Médio 4.0-6.9
Alto 7.0-8.9
Crítico 9.0-10.0

Para descobrir o valor CVSS para uma vulnerabilidade, os pesquisadores analisam uma série de variáveis ​​que abrangem métricas de pontuação de base, métricas de pontuação temporal e métricas de pontuação ambiental.

  • Métricas de pontuação básica cobrem coisas como o grau de exploração da vulnerabilidade, a complexidade do ataque, os privilégios necessários e o escopo da vulnerabilidade.
  • Métricas de pontuação temporal cobrir aspectos como a maturidade do código de exploração, se existe correção para a exploração e a confiança no relatório da vulnerabilidade.
  • Métricas de pontuação ambiental lidar com várias áreas:
    • Métricas de exploração: Cobrindo o vetor de ataque, a complexidade do ataque, os privilégios, os requisitos de interação do usuário e o escopo.
    • Métricas de impacto: Cobrindo o impacto na confidencialidade, integridade e disponibilidade.
    • Impact Subscore: Adiciona mais definição às métricas de impacto, abrangendo requisitos de confidencialidade, requisitos de integridade e requisitos de disponibilidade.

Agora, se tudo isso parece um pouco confuso, considere duas coisas. Primeiro, esta é a terceira iteração da escala CVSS. Inicialmente, começou com a pontuação básica antes de adicionar as métricas subsequentes durante as revisões posteriores. A versão atual é CVSS 3.1.

Em segundo lugar, para entender melhor como o CVSS denomina pontuações, você pode usar o Calculadora CVSS do Banco de Dados Nacional de Vulnerabilidades para ver como as métricas de vulnerabilidade interagem.

Não há dúvida de que pontuar uma vulnerabilidade "a olho" seria extremamente difícil, portanto, uma calculadora como esta ajuda a fornecer uma pontuação precisa.

Manter-se seguro online

Embora o relatório Kenna Security ilustre que apenas uma pequena proporção das vulnerabilidades relatadas se torna uma ameaça séria, uma chance de 6 por cento de exploração ainda é alta. Imagine se sua cadeira favorita tivesse 6 em 100 chances de quebrar toda vez que você se sentasse. Você o substituiria, certo?

Você não tem as mesmas opções com a Internet; é insubstituível. No entanto, como sua cadeira favorita, você pode remendá-la e prendê-la antes que se torne um problema ainda maior. Existem cinco coisas importantes a fazer para dizer seguro on-line e evitar malware e outras explorações:

  1. Atualizar. Mantenha seu sistema atualizado. As atualizações são a principal forma de as empresas de tecnologia manterem seu computador seguro, corrigindo vulnerabilidades e outras falhas.
  2. Antivírus. Você pode ler coisas online como "você não precisa mais de um antivírus" ou "antivírus é inútil". Certo, invasores evoluem constantemente para evitar programas antivírus, mas você estaria em uma situação muito pior sem eles. O antivírus integrado em seu sistema operacional é um ótimo ponto de partida, mas você pode aumentar sua proteção com uma ferramenta como o Malwarebytes.
  3. Links. Não clique neles a menos que saiba para onde estão indo. Você pode inspecione um link suspeito usando as ferramentas integradas do seu navegador.
  4. Senha. Torne-o forte, único e nunca o reutilize. No entanto, é difícil lembrar de todas essas senhas - ninguém argumentaria contra isso. É por isso que você deveria verifique um gerenciador de senhas ferramenta para ajudá-lo a lembrar e proteger melhor suas contas.
  5. Golpes. Existem muitos golpes na Internet. Se parece bom demais para ser verdade, provavelmente é. Criminosos e golpistas são adeptos da criação de sites swish com partes polidas para empurrá-lo por um golpe sem perceber. Não acredite em tudo que você lê online.

Ficar seguro online não precisa ser um trabalho de tempo integral, e você não precisa se preocupar toda vez que liga o computador. Tomar algumas medidas de segurança aumentará drasticamente sua segurança online.

O email
Qual é o princípio de menor privilégio e como ele pode prevenir ataques cibernéticos?

Quanto acesso é demais? Aprenda sobre o princípio do menor privilégio e como ele pode ajudar a evitar ataques cibernéticos imprevistos.

Tópicos relacionados
  • Tecnologia Explicada
  • Segurança
  • Scams
  • Segurança Online
  • Antivírus
  • Malware
  • Porta dos fundos
Sobre o autor
Gavin Phillips (742 artigos publicados)

Gavin é o Editor Júnior para Windows e Technology Explained, um contribuidor regular do Really Useful Podcast e foi o Editor do site irmão da MakeUseOf, Blocks Decoded. Ele tem um BA (Hons) em Redação Contemporânea com Práticas de Arte Digital pilhadas nas colinas de Devon, bem como mais de uma década de experiência profissional em redação. Ele gosta de grandes quantidades de chá, jogos de tabuleiro e futebol.

Mais de Gavin Phillips

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Mais um passo…!

Confirme o seu endereço de e-mail no e-mail que acabamos de enviar.

.