BLACK HAT USA – Las Vegas – Slediti popravkom varnostnih ranljivosti je v najboljšem primeru izziv, vendar je zaradi rezultatov CVSS brez konteksta, blatnih nasvetov prodajalcev in nepopolnih popravkov, ki jih pustite administratorjem lažen občutek varnosti.
To je argument, ki sta ga Brian Gorenc in Dustin Childs, oba z Zero Day Initiative (ZDI) podjetja Trend Micro, podala z odra Black Hat USA med svojo sejo, "Izračun tveganja v dobi nejasnosti: branje varnostnih nasvetov med vrsticami«.
ZDI je od leta 10,000 prodajalcem v celotni panogi razkril več kot 2005 ranljivosti. V tem času je vodja komunikacij ZDI Childs dejal, da je opazil zaskrbljujoč trend, ki je zmanjšanje kakovosti popravkov in zmanjšanje komunikacije v zvezi z varnostnimi posodobitvami.
"Resnična težava nastane, ko prodajalci izdajo napačne popravke ali netočne in nepopolne informacije o teh popravkih, zaradi katerih lahko podjetja napačno izračunajo svoje tveganje," je opozoril. "Napačni popravki so lahko tudi korist za izkoriščanje piscev, saj je 'n-dneve' veliko lažje uporabiti kot nič-dneve."
Težave z rezultati CVSS in prednostjo popravkov
Večina ekip za kibernetsko varnost nima dovolj osebja in je pod pritiskom, mantra »vedno posodabljaj vse različice programske opreme« pa ni vedno smiselna za oddelke, ki preprosto nimajo sredstev, da bi pokrivali celotno področje. Zato je določanje prednosti, katere popravke uporabiti glede na njihovo stopnjo resnosti na skupni lestvici resnosti ranljivosti (CVSS), postalo rezerva za mnoge skrbnike.
Childs pa je opozoril, da je ta pristop globoko napačen in lahko povzroči, da se sredstva porabijo za hrošče, ki verjetno ne bodo nikoli izkoriščeni. To je zato, ker obstaja vrsta kritičnih informacij, ki jih ocena CVSS ne zagotavlja.
»Vse prepogosto podjetja ne iščejo dlje od osnovnega jedra CVSS, da bi določila prednost popravkov,« je dejal. »Toda CVSS v resnici ne gleda na izkoriščanje ali na to, ali je ranljivost verjetno uporabljena v naravi. CVSS vam ne pove, ali napaka obstaja v 15 sistemih ali v 15 milijonih sistemov. In ne piše, ali je v javno dostopnih strežnikih ali ne.«
Dodal je: "In kar je najpomembnejše, ne pove, ali je hrošč prisoten v sistemu, ki je ključnega pomena za vaše podjetje."
Torej, čeprav lahko hrošč nosi kritično oceno 10 od 10 na lestvici CVSS, je njen resnični vpliv lahko veliko manj zaskrbljujoč, kot bi nakazala ta kritična oznaka.
"Napaka pri nepreverjenem oddaljenem izvajanju kode (RCE) v e-poštnem strežniku, kot je Microsoft Exchange, bo povzročila veliko zanimanja piscev izkoriščanja," je dejal. "Nepreverjena napaka RCE v e-poštnem strežniku, kot je Squirrel Mail, verjetno ne bo pritegnila toliko pozornosti."
Da bi zapolnili kontekstualne vrzeli, se varnostne ekipe pogosto obrnejo na svetovalce prodajalcev – ki imajo, kot je opozoril Childs, svojo očitno težavo: pogosto prakticirajo varnost skozi nejasnost.
Microsoft Patch Tuesday Advisories Manjkajo podrobnosti
Leta 2021 je Microsoft sprejel odločitev za odstranitev povzetkov
iz vodnikov za varnostne posodobitve, namesto tega obvešča uporabnike, da bodo rezultati CVSS zadostovali za prednostno razvrščanje – sprememba, ki jo je Childs obsojal.
"Sprememba odstrani kontekst, ki je potreben za določitev tveganja," je dejal. »Na primer, ali napaka pri razkritju informacij izpusti naključni pomnilnik ali PII? Ali za obvod varnostnih funkcij, kaj se zaobide? Informacije v teh zapisih so nedosledne in različne kakovosti, kljub skoraj splošni kritiki spremembe.«
Poleg Microsoftovega »odstranjevanja ali zakrivanja informacij v posodobitvah, ki so prej ustvarjale jasne smernice«, je zdaj tudi težje določiti osnovne informacije o popravkih, na primer, koliko hroščev je bilo popravljenih vsak mesec.
"Zdaj se moraš sam prešteti in to je pravzaprav ena najtežjih stvari, ki jih počnem," je opozoril Childs.
Prav tako so informacije o tem, koliko ranljivosti je pod aktivnim napadom ali javno znanih, še vedno na voljo, vendar so zdaj zakopane v biltenih.
»Na primer, z Ta mesec se popravlja 121 CVE, je nekako težko brskati po vseh in poiskati, kateri so pod aktivnim napadom,« je dejal Childs. "Namesto tega se ljudje zdaj zanašajo na druge vire informacij, kot so spletni dnevniki in članki v tisku, namesto na tiste, ki bi morale biti verodostojne informacije od prodajalca, da bi pomagale pri določanju tveganja."
Treba je opozoriti, da Microsoft se je podvojil na spremembo. V pogovoru z Dark Reading pri Black Hat USA je korporativni podpredsednik Microsoftovega varnostno odzivnega centra Aanchal Gupta dejal, da se je podjetje zavestno odločilo omejiti informacije, ki jih na začetku zagotavlja s svojimi CVE, da zaščiti uporabnike. Medtem ko Microsoftovi CVE zagotavljajo informacije o resnosti hrošča in verjetnosti, da bo izkoriščen (in o tem, ali se aktivno izkorišča), bo podjetje preudarno razkrilo, kako bo objavilo informacije o izkoriščanju ranljivosti, je dejala.
Cilj je dati varnostnim upravam dovolj časa, da uporabijo popravek, ne da bi jih ogrozili, je dejal Gupta. »Če smo v našem CVE zagotovili vse podrobnosti o tem, kako je mogoče izkoristiti ranljivosti, bomo naše stranke popolnoma brez skrbi,« je dejala.
Drugi prodajalci prakticirajo nejasnost
Microsoft skorajda ni edini pri zagotavljanju redkih podrobnosti pri razkritjih napak. Childs je dejal, da mnogi prodajalci sploh ne zagotovijo CVE-jev, ko izdajo posodobitev.
"Pravijo samo, da posodobitev odpravlja več varnostnih težav," je pojasnil. "Koliko? Kakšna je resnost? Kakšna je izkoriščenost? Nedavno nam je prodajalec celo povedal, da ne objavljamo javnih nasvetov o varnostnih vprašanjih. To je drzna poteza.«
Poleg tega nekateri prodajalci dajejo nasvete za plačilne zidove ali podporne pogodbe, s čimer dodatno prikrijejo svoje tveganje. Ali pa združijo več poročil o napakah v en sam CVE, kljub splošnemu mnenju, da CVE predstavlja eno samo edinstveno ranljivost.
"To vodi do morebitnega izkrivljanja vašega izračuna tveganja," je dejal. »Če na primer pogledate nakup izdelka in vidite 10 CVE-jev, ki so bili popravljeni v določenem času, lahko pridete do enega sklepa o tveganju tega novega izdelka. Če pa bi vedeli, da teh 10 CVE-jev temelji na več kot 100 poročilih o napakah, bi morda prišli do drugačnega zaključka.«
Placebo obliži Prednost kuge
Poleg težave z razkritjem se varnostne ekipe srečujejo tudi s težavami s samimi popravki. "Placebo popravki", ki so "popravki", ki dejansko ne povzročijo učinkovitih sprememb kode, po mnenju Childsa niso neobičajni.
"Ta hrošč je torej še vedno prisoten in ga akterji groženj lahko izkoristijo, le da so zdaj o tem obveščeni," je dejal. "Veliko je razlogov, zakaj bi se to lahko zgodilo, vendar se zgodi – hrošči so tako dobri, da jih popravimo dvakrat.”
Pogosto so tudi popravki, ki so nepopolni; pravzaprav je v programu ZDI celih 10 % do 20 % hroščev, ki jih analizirajo raziskovalci, neposredna posledica napačnega ali nepopolnega popravka.
Childs je uporabil primer težave s prekoračitvijo celih števil v programu Adobe Reader, ki je povzročila premajhno dodelitev kopice, kar ima za posledico prekoračitev medpomnilnika, ko je vanj zapisanih preveč podatkov.
"Pričakovali smo, da bo Adobe naredil popravek tako, da bo katero koli vrednost nad določeno točko nastavil kot slabo," je dejal Childs. »Toda to ni tisto, kar smo videli, in v 60 minutah po uvedbi je prišlo do obvoda popravka in morali so ga znova popraviti. Ponovitve niso samo za televizijske oddaje.«
Kako se spopasti s težavami pri določanju prednosti popravkov
Konec koncev, ko gre za prednostno razvrščanje popravkov, se učinkovito upravljanje popravkov in izračun tveganja zmanjšata na prepoznavanje ciljev programske opreme visoke vrednosti v organizaciji ter uporabo virov tretjih oseb za zožitev, kateri popravki bi bili najpomembnejši za katero koli dano okolje, ugotavljajo raziskovalci.
Vendar pa je vprašanje spretnosti po razkritju še eno ključno področje, na katerega se morajo organizacije osredotočiti.
Po besedah Gorenca, višjega direktorja pri ZDI, kibernetski kriminalci ne izgubljajo časa z integracijo ranljivosti z velikimi napadalnimi površinami v svoje nabore orodij za izsiljevalsko programsko opremo ali svoje komplete izkoriščanja, s čimer želijo oborožiti na novo razkrite pomanjkljivosti, preden imajo podjetja čas za popravek. Ti tako imenovani n-dnevni hrošči so mačja meta za napadalce, ki lahko v povprečju izvedejo povratni inženiring hrošča že v 48 urah.
"Večinoma žaljiva skupnost uporablja n-dnevne ranljivosti, ki imajo na voljo javne popravke," je dejal Gorenc. "Za nas je pomembno, da ob razkritju razumemo, ali bo hrošč dejansko uporabljen kot orožje, vendar večina prodajalcev ne zagotavlja informacij o možnostih izkoriščanja."
Zato morajo biti ocene tveganja podjetja dovolj dinamične, da se spremenijo po razkritju, varnostne ekipe pa bi morale spremljati vire obveščanja o grožnjah, da bi razumele, kdaj je hrošč integriran v komplet izkoriščanja ali izsiljevalsko programsko opremo ali kdaj je izkoriščanje objavljeno na spletu.
Poleg tega je pomembna časovnica, ki jo morajo podjetja upoštevati, koliko časa traja, da se popravek dejansko uvede v celotni organizaciji, in ali obstajajo nujni viri, ki jih je mogoče uporabiti, če je to potrebno.
»Ko pride do sprememb v krajini groženj (revizije popravkov, javni dokazi konceptov in izdaje izkoriščanja), bi morala podjetja preusmeriti svoje vire, da bi zadostila potrebam in se borila proti najnovejšim tveganjem,« je pojasnil Gorenc. »Ne le zadnja objavljena in imenovana ranljivost. Opazujte, kaj se dogaja v pokrajini groženj, usmerite svoje vire in se odločite, kdaj ukrepati.«
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
