google-site-verification: googlebede37d9ebfc4715.html كم عدد الثغرات الأمنية الموجودة وكيف يتم تقييمها؟

adsence?

كم عدد الثغرات الأمنية الموجودة وكيف يتم تقييمها؟

by - google team on - 3/02/2021

 

كم عدد الثغرات الأمنية الموجودة وكيف يتم تقييمها؟

بقلم جافين فيليبس

كل عام ، يتم الإعلان عن الآلاف من نقاط الضعف. لكن كم من هؤلاء يتم استغلالهم بالفعل؟

ميزة ضعف الهاتف الأمني

كل عام ، تنشر شركات الأمن والتكنولوجيا تفاصيل آلاف الثغرات الأمنية. تقوم وسائل الإعلام بالإبلاغ على النحو الواجب عن نقاط الضعف هذه ، وتسليط الضوء على أخطر القضايا وتقديم المشورة للمستخدمين حول كيفية البقاء في أمان

ولكن ماذا لو أخبرتك أنه من بين تلك الآلاف من نقاط الضعف ، القليل منها يتم استغلاله بنشاط في البرية؟

إذن ما عدد الثغرات الأمنية الموجودة ، وهل تقرر شركات الأمن مدى سوء هذه الثغرة؟

كم عدد الثغرات الأمنية الموجودة؟

وجدت سلسلة تقارير Kenna Security لتحديد أولويات التنبؤ أنه في عام 2019 ، نشرت الشركات الأمنية أكثر من 18000 CVE (نقاط الضعف والتعرض الشائعة).

في حين أن هذا الرقم يبدو مرتفعًا ، وجد التقرير أيضًا أنه من بين 18000 نقطة ضعف ، 473 فقط "وصلت إلى استغلال واسع النطاق" ، وهو ما يمثل حوالي 6 بالمائة من الإجمالي. على الرغم من أن هذه الثغرات الأمنية يتم استغلالها بالفعل عبر الإنترنت ، فإن هذا لا يعني أن كل متسلل ومهاجم حول العالم كان يستخدمها.

علاوة على ذلك ، "كان رمز الاستغلال متاحًا بالفعل لأكثر من 50٪ من الثغرات بحلول الوقت الذي تم نشره فيه في قائمة مكافحة التطرف العنيف. يبدو أن رمز الاستغلال كان متاحًا بالفعل ينذر بالخطر في ظاهره ، وهي مشكلة. ومع ذلك ، فهذا يعني أيضًا أن الباحثين الأمنيين يعملون بالفعل على تصحيح المشكلة.

الممارسة الشائعة هي تصحيح الثغرات الأمنية في غضون 30 يومًا من نافذة النشر. هذا لا يحدث دائمًا ، ولكن هذا ما تعمل عليه معظم شركات التكنولوجيا.

يوضح الرسم البياني أدناه مزيدًا من التناقض بين عدد التصدي للتطرف العنيف المبلغ عنه والعدد الذي تم استغلاله بالفعل.

أمن كينا يستغل النسبة المئوية للرسم البياني

تم اكتشاف حوالي 75 بالمائة من التطرف العنيف من قبل أقل من مؤسسة واحدة من بين 11000 مؤسسة ، وتم اكتشاف 5.9 بالمائة فقط من التطرف العنيف من قبل مؤسسة واحدة من كل 100 مؤسسة. هذا تماما هو انتشار.

يمكنك العثور على البيانات والأرقام أعلاه في تحديد أولويات حجم التنبؤ 6: فجوة المهاجم-المدافع.

من يعيّن مكافحة التطرف العنيف؟

قد تتساءل من الذي يعين وينشئ مكافحة التطرف العنيف كبداية. لا يمكن لأي شخص تحديد CVE. يوجد حاليًا 153 منظمة من 25 دولة مصرح لها بتعيين مكافحة التطرف العنيف.

هذا لا يعني أن هذه الشركات والمؤسسات فقط هي المسؤولة عن الأبحاث الأمنية حول العالم. على العكس من ذلك، في الواقع. ما يعنيه هذا هو أن هذه المنظمات الـ 153 (المعروفة باسم سلطات ترقيم CVE ، أو CNAs باختصار) تعمل وفقًا لمعيار متفق عليه لإطلاق الثغرات الأمنية في المجال العام.

إنه موقف تطوعي. يجب على المنظمات المشاركة إثبات "القدرة على التحكم في الكشف عن معلومات الثغرات الأمنية دون النشر المسبق" ، بالإضافة إلى العمل مع الباحثين الآخرين الذين يطلبون معلومات عن الثغرات الأمنية.

هناك ثلاثة جذر CNAs ، والتي تقع في الجزء العلوي من التسلسل الهرمي:

  • شركة MITER
  • وكالة الأمن السيبراني وأمن البنية التحتية (CISA) أنظمة التحكم الصناعي (ICS)
  • JPCERT / CC

جميع CNAs الأخرى تقدم تقاريرها إلى واحدة من هذه السلطات الثلاث عالية المستوى. تعد شهادات CNA في الغالب من شركات التكنولوجيا ومطوري الأجهزة والبائعين مع التعرف على الأسماء ، مثل Microsoft و AMD و Intel و Cisco و Apple و Qualcomm وما إلى ذلك. قائمة CNA الكاملة متاحة على موقع MITER .

الإبلاغ عن الضعف

يتم تعريف الإبلاغ عن الثغرات أيضًا حسب نوع البرنامج والنظام الأساسي الذي تم العثور على الثغرة الأمنية عليه. يعتمد أيضًا على من وجده في البداية.

على سبيل المثال ، إذا وجد باحث أمني ثغرة أمنية في بعض البرامج الاحتكارية ، فمن المحتمل أن يبلغ البائع عنها مباشرةً. بدلاً من ذلك ، إذا تم العثور على الثغرة الأمنية في برنامج مفتوح المصدر ، فقد يفتح الباحث مشكلة جديدة في صفحة تقرير المشروع أو المشكلات.

ومع ذلك ، إذا اكتشف شخص شرير الثغرة الأمنية أولاً ، فقد لا يكشف عنها للبائع المعني. عندما يحدث هذا ، قد لا يدرك الباحثون والموردون الأمنيون الثغرة الأمنية حتى يتم استخدامها كمستغل ليوم الصفر .

كيف تصنف شركات الأمن CVEs؟

هناك اعتبار آخر وهو كيف تقيّم شركات الأمن والتكنولوجيا مكافحة التطرف العنيف.

الباحث الأمني ​​لا يسحب رقمًا من فراغ ويخصصه لثغرة تم اكتشافها حديثًا. يوجد إطار عمل للتسجيل يوجه تقييم نقاط الضعف: نظام تسجيل نقاط الضعف المشترك (CVSS).

مقياس CVSS هو كما يلي:

خطورةالنتيجة الأساسية
لا أحد0
قليل0.1-3.9
واسطة4.0-6.9
متوسط7.0-8.9
حرج9.0-10.0

لمعرفة قيمة CVSS للثغرة الأمنية ، يقوم الباحثون بتحليل سلسلة من المتغيرات التي تغطي مقاييس النتيجة الأساسية ، ومقاييس النقاط الزمنية ، ومقاييس النتائج البيئية.

  • تغطي مقاييس النقاط الأساسية أشياء مثل مدى قابلية استغلال الثغرة الأمنية ، وتعقيد الهجوم ، والامتيازات المطلوبة ، ونطاق الثغرة الأمنية.
  • تغطي مقاييس الدرجة الزمنية جوانب مثل مدى نضج كود الاستغلال ، إذا كان هناك علاج للاستغلال ، والثقة في الإبلاغ عن الثغرة الأمنية.
  • تتعامل مقاييس النتائج البيئية مع عدة مجالات:
    • مقاييس قابلية الاستغلال: تغطي متجه الهجوم وتعقيد الهجوم والامتيازات ومتطلبات تفاعل المستخدم والنطاق.
    • مقاييس التأثير: تغطي التأثير على السرية والنزاهة والتوافر.
    • التأثير الفرعي: يضيف تعريفًا إضافيًا لمقاييس التأثير ، ويغطي متطلبات السرية ، ومتطلبات السلامة ، ومتطلبات التوفر.

الآن ، إذا كان كل هذا يبدو محيرًا بعض الشيء ، ففكر في شيئين. أولاً ، هذا هو التكرار الثالث لمقياس CVSS. بدأت مبدئيًا بالنقاط الأساسية قبل إضافة المقاييس اللاحقة أثناء المراجعات اللاحقة. الإصدار الحالي هو CVSS 3.1.

ثانيًا ، لفهم كيفية تصنيف CVSS للدرجات بشكل أفضل ، يمكنك استخدام حاسبة CVSS لقاعدة بيانات الثغرات الأمنية الوطنية لمعرفة كيفية تفاعل مقاييس الثغرات الأمنية.

قاعدة بيانات مواطن الضعف cvss حاسبة

ليس هناك شك في أن تسجيل نقاط الضعف "بالعين" سيكون صعبًا للغاية ، لذا تساعد الآلة الحاسبة مثل هذه في تقديم نتيجة دقيقة.

البقاء بأمان على الإنترنت

على الرغم من أن تقرير Kenna Security يوضح أن نسبة صغيرة فقط من نقاط الضعف المُبلغ عنها تصبح تهديدًا خطيرًا ، إلا أن فرصة الاستغلال بنسبة 6٪ لا تزال مرتفعة. تخيل لو أن كرسيك المفضل لديه فرصة 6 من 100 للكسر في كل مرة جلست فيها. سوف تستبدله ، أليس كذلك؟

ليس لديك نفس الخيارات مع الإنترنت ؛ لا يمكن الاستغناء عنه. ومع ذلك ، مثل كرسيك المفضل ، يمكنك إصلاحه وتأمينه قبل أن يصبح مشكلة أكبر. هناك خمسة أشياء مهمة يجب فعلها للتعبير عن الأمان عبر الإنترنت وتجنب البرامج الضارة والمآثر الأخرى:

  1. تحديث.  حافظ على تحديث نظامك. التحديثات هي الطريقة الأولى التي تحافظ بها الشركات التقنية على أمان جهاز الكمبيوتر الخاص بك ، وتصحيح نقاط الضعف والعيوب الأخرى.

  1. مضاد للفيروسات.  قد تقرأ أشياء على الإنترنت مثل "لم تعد بحاجة إلى برنامج مكافحة فيروسات" أو "برنامج مكافحة الفيروسات عديم الفائدة". بالتأكيد ، يتطور المهاجمون باستمرار للتهرب من برامج مكافحة الفيروسات ، لكنك ستكون في وضع أسوأ بكثير بدونها. يعد برنامج مكافحة الفيروسات المدمج في نظام التشغيل الخاص بك نقطة انطلاق رائعة ، ولكن يمكنك زيادة حمايتك باستخدام أداة مثل Malwarebytes.

  1. الروابط . لا تنقر عليها إلا إذا كنت تعرف إلى أين يذهبون. يمكنك فحص ارتباط مشبوه باستخدام أدوات المتصفح المدمجة.

  1. كلمة المرور.  اجعله قويًا ، واجعله فريدًا ، ولا تعيد استخدامه أبدًا. ومع ذلك ، فإن تذكر كل كلمات المرور هذه صعب - لن يجادل أحد ضد ذلك. لهذا السبب يجب عليك التحقق من أداة إدارة كلمات المرور لمساعدتك على تذكر حساباتك وتأمينها بشكل أفضل.

  1. الغش.  هناك الكثير من عمليات الاحتيال على الإنترنت. إذا بدا الأمر جيدًا لدرجة يصعب تصديقها ، فمن المحتمل أن يكون كذلك . المجرمون والمحتالون بارعون في إنشاء مواقع ويب ذكية بأجزاء مصقولة لإخادتك خلال عملية احتيال دون أن يدركوا ذلك. لا تصدق كل ما تقرأه على الإنترنت.

لا يجب أن يكون البقاء بأمان عبر الإنترنت وظيفة بدوام كامل ، ولا داعي للقلق في كل مرة تقوم فيها بتشغيل جهاز الكمبيوتر الخاص بك. سيؤدي اتخاذ بعض الخطوات الأمنية إلى تعزيز أمانك عبر الإنترنت بشكل كبير.

Reactions

إرسال تعليق

0 تعليقات