BLACK HAT SUA – Las Vegas – A ține pasul cu corecțiile de securitate și vulnerabilități este în cel mai bun caz o provocare, dar prioritizarea erorilor pe care să se concentreze a devenit mai dificilă decât oricând, datorită scorurilor CVSS lipsite de context, avizelor de furnizori noroioase și remediilor incomplete care lăsați administratorii cu un fals sentiment de securitate.
Acesta este argumentul pe care Brian Gorenc și Dustin Childs, ambii cu Zero Day Initiative (ZDI) de la Trend Micro, l-au făcut de pe scena Black Hat USA în timpul sesiunii lor, „Calcularea riscului în era obscurității: citirea între liniile avizelor de securitate. "
ZDI a dezvăluit peste 10,000 de vulnerabilități furnizorilor din industrie din 2005. De-a lungul acelui timp, managerul de comunicații ZDI Childs a spus că a observat o tendință tulburătoare, care este o scădere a calității patch-urilor și reducerea comunicațiilor legate de actualizările de securitate.
„Adevărata problemă apare atunci când furnizorii lansează patch-uri defecte sau informații inexacte și incomplete despre acele patch-uri care pot determina întreprinderile să-și calculeze greșit riscul”, a menționat el. „Patch-urile defecte pot fi, de asemenea, un avantaj pentru exploatarea scriitorilor, deoarece „n-days” sunt mult mai ușor de utilizat decât zero-days.”
Problema cu scorurile CVSS și prioritatea corecțiilor
Majoritatea echipelor de securitate cibernetică au personal insuficient și sunt sub presiune, iar mantra „ține mereu la zi toate versiunile de software” nu are întotdeauna sens pentru departamentele care pur și simplu nu au resursele necesare pentru a acoperi malul apei. De aceea, prioritizarea patch-urilor care trebuie aplicate în funcție de gradul de severitate al Common Vulnerability Severity Scale (CVSS) a devenit o rezervă pentru mulți administratori.
Childs a remarcat, totuși, că această abordare este profund defectuoasă și poate duce la cheltuirea resurselor pentru bug-uri care este puțin probabil să fie exploatate vreodată. Asta pentru că există o serie de informații critice pe care scorul CVSS nu le oferă.
„De prea multe ori, întreprinderile nu caută mai departe decât nucleul de bază CVSS pentru a determina prioritatea de corecție”, a spus el. „Dar CVSS nu se uită cu adevărat la exploatare sau dacă o vulnerabilitate este probabil să fie folosită în sălbăticie. CVSS nu vă spune dacă bug-ul există în 15 sisteme sau în 15 milioane de sisteme. Și nu spune dacă se află sau nu pe servere accesibile publicului.”
El a adăugat: „Și, cel mai important, nu spune dacă eroarea este prezentă sau nu într-un sistem care este esențial pentru întreprinderea ta.”
Astfel, chiar dacă o eroare poate avea o evaluare critică de 10 din 10 pe scara CVSS, impactul său real poate fi mult mai puțin îngrijorător decât ar indica eticheta critică.
„O eroare neautentificată de execuție a codului de la distanță (RCE) într-un server de e-mail precum Microsoft Exchange va genera foarte mult interes din partea scriitorilor de exploatații”, a spus el. „O eroare RCE neautentificată într-un server de e-mail precum Squirrel Mail probabil nu va genera atât de multă atenție.”
Pentru a completa golurile contextuale, echipele de securitate apelează adesea la avizele furnizorilor – care, a remarcat Childs, au propria lor problemă flagrantă: practică adesea securitatea prin obscuritate.
Avizele Microsoft Patch Tuesday lipsesc detalii
În 2021, Microsoft a luat decizia pentru a elimina rezumatele executive
din ghidurile de actualizare de securitate, informând în schimb utilizatorii că scorurile CVSS ar fi suficiente pentru prioritizare – o schimbare pe care Childs a criticat-o.
„Schimbarea elimină contextul necesar pentru a determina riscul”, a spus el. „De exemplu, o eroare de divulgare a informațiilor elimină memoria aleatoare sau PII? Sau pentru o ocolire a caracteristicilor de securitate, ce este ocolit? Informațiile din aceste scrieri sunt inconsecvente și de calitate variabilă, în ciuda criticilor aproape universale la adresa schimbării.”
Pe lângă faptul că Microsoft fie „elimină sau ascunde informațiile din actualizări care obișnuiau să producă îndrumări clare”, acum este, de asemenea, mai dificil să se determine informațiile de bază pentru Patch Tuesday, cum ar fi câte erori sunt corectate în fiecare lună.
„Acum trebuie să te numeri pe tine însuți și este de fapt unul dintre cele mai grele lucruri pe care le fac”, a remarcat Childs.
De asemenea, informațiile despre câte vulnerabilități sunt atacate activ sau cunoscute public sunt încă disponibile, dar îngropate în buletine acum.
„De exemplu, cu 121 de CVE-uri sunt corectate luna aceasta, este cam greu să le cercetezi pe toate pentru a căuta care sunt atacate activ”, a spus Childs. „În schimb, oamenii se bazează acum pe alte surse de informații, cum ar fi bloguri și articole de presă, mai degrabă decât pe ceea ce ar trebui să fie informații autorizate de la furnizor pentru a ajuta la determinarea riscului.”
Trebuie remarcat faptul că Microsoft a dublat schimbarea. Într-o conversație cu Dark Reading la Black Hat USA, vicepreședintele corporativ al Centrului de răspuns de securitate al Microsoft, Aanchal Gupta, a declarat că compania a decis în mod conștient să limiteze informațiile pe care le furnizează inițial cu CVE-urile sale pentru a proteja utilizatorii. În timp ce Microsoft CVE oferă informații despre gravitatea erorii și probabilitatea ca acesta să fie exploatat (și dacă este exploatat în mod activ), compania va fi judicioasă în ceea ce privește modul în care eliberează informații despre exploatarea vulnerabilităților, a spus ea.
Scopul este de a oferi administrațiilor de securitate suficient timp pentru a aplica patch-ul fără a le pune în pericol, a spus Gupta. „Dacă, în CVE, am furnizat toate detaliile despre modul în care vulnerabilitățile pot fi exploatate, ne vom oferi clienților noștri”, a spus ea.
Alți vânzători practică obscuritatea
Microsoft nu este singurul care oferă puține detalii în dezvăluirile de erori. Childs a spus că mulți furnizori nu oferă deloc CVE atunci când lansează o actualizare.
„Spun doar că actualizarea rezolvă mai multe probleme de securitate”, a explicat el. "Câți? Care este gravitatea? Care este exploabilitatea? Chiar și recent un furnizor ne-a spus în mod specific că nu publicăm avizele publice cu privire la problemele de securitate. Este o mișcare îndrăzneață.”
În plus, unii vânzători pun consiliere în spatele pereților de plată sau a contractelor de asistență, ascunzându-și și mai mult riscul. Sau, combină mai multe rapoarte de erori într-un singur CVE, în ciuda percepției comune că un CVE reprezintă o singură vulnerabilitate unică.
„Acest lucru duce la eventual denaturarea calculului riscului”, a spus el. „De exemplu, dacă vă uitați la cumpărarea unui produs și vedeți 10 CVE care au fost corectate într-un anumit interval de timp, puteți ajunge la o concluzie a riscului din acest nou produs. Cu toate acestea, dacă știi că acele 10 CVE se bazează pe peste 100 de rapoarte de erori, ai putea ajunge la o concluzie diferită.”
Plasturi cu placebo Prioritizarea ciumei
Dincolo de problema dezvăluirii, echipele de securitate se confruntă și cu probleme cu patch-urile în sine. „Patch-urile Placebo”, care sunt „remedieri” care de fapt nu fac modificări efective de cod, nu sunt neobișnuite, potrivit Childs.
„Deci bug-ul este încă acolo și poate fi exploatat pentru actorii amenințărilor, cu excepția faptului că acum au fost informați despre asta”, a spus el. „Există multe motive pentru care acest lucru s-ar putea întâmpla, dar se întâmplă – bug-uri atât de drăguțe încât le-am petice de două ori.”
Există, de asemenea, adesea petice care sunt incomplete; de fapt, în programul ZDI, 10% până la 20% dintre erorile analizate de cercetători sunt rezultatul direct al unui patch defect sau incomplet.
Childs a folosit exemplul unei probleme de depășire a numărului întreg în Adobe Reader care duce la o alocare de heap subdimensionată, ceea ce are ca rezultat o depășire a memoriei tampon atunci când sunt scrise prea multe date în acesta.
„Ne așteptam ca Adobe să remedieze, setând orice valoare peste un anumit punct să fie proastă”, a spus Childs. „Dar nu asta am văzut și, în 60 de minute de la lansare, a existat o ocolire a patch-urilor și a trebuit să corecteze din nou. Reluările nu sunt doar pentru emisiunile TV.”
Cum să combateți problemele privind prioritizarea patch-urilor
În cele din urmă, când vine vorba de prioritizarea patch-urilor, gestionarea eficientă a patch-urilor și calcularea riscului se rezumă la identificarea țintelor software de mare valoare în cadrul organizației, precum și la utilizarea surselor terțe pentru a restrânge patch-urile care ar fi cele mai importante pentru orice mediu dat, au remarcat cercetătorii.
Cu toate acestea, problema agilității post-dezvăluire este un alt domeniu-cheie pe care să se concentreze organizațiile.
Potrivit lui Gorenc, director senior la ZDI, infractorii cibernetici nu pierd timpul integrând vulni cu suprafețe mari de atac în seturile lor de instrumente de ransomware sau în kiturile lor de exploatare, căutând să pună la punct defectele nou dezvăluite înainte ca companiile să aibă timp să corecteze. Aceste așa-numite bug-uri de n-zile sunt catnip pentru atacatori, care, în medie, pot face inginerie inversă a unui bug în cel puțin 48 de ore.
„În cea mai mare parte, comunitatea ofensivă folosește vulnerabilități de n zile care au patch-uri publice disponibile”, a spus Gorenc. „Este important pentru noi să înțelegem în momentul dezvăluirii dacă o eroare va fi de fapt transformată în arme, dar majoritatea vânzătorilor nu oferă informații despre exploatare.”
Astfel, evaluările riscurilor întreprinderii trebuie să fie suficient de dinamice pentru a modifica după dezvăluire, iar echipele de securitate ar trebui să monitorizeze sursele de informații despre amenințări pentru a înțelege când este integrată o eroare într-un kit de exploatare sau într-un ransomware sau când un exploit este lansat online.
În plus, o cronologie importantă pe care întreprinderile trebuie să ia în considerare este cât timp durează pentru a implementa efectiv un patch în organizație și dacă există resurse de urgență care pot fi utilizate dacă este necesar.
„Când apar schimbări în peisajul amenințărilor (revizuiri de corecții, dovezi publice și lansări de exploatare), întreprinderile ar trebui să-și schimbe resursele pentru a satisface nevoile și pentru a combate cele mai recente riscuri”, a explicat Gorenc. „Nu doar cea mai recentă vulnerabilitate publicată și numită. Observați ce se întâmplă în peisajul amenințărilor, orientați-vă resursele și decideți când să acționați.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
