Відео: ДвернаÑ? охота (Выломаные двери) (Вересень 2024)
У другий вівторок кожного місяця, "Патч-вівторок", Microsoft висуває виправлення помилок та отворів у безпеці в Windows та в додатках Microsoft. Більшість випадків, коли вирішуються проблеми, стосуються серйозних дірок у безпеці, помилок програмування, які можуть дозволити хакерам проникнути в мережеву безпеку, викрасти інформацію або запустити довільний код. Adobe, Oracle та інші постачальники мають власні графіки виправлення. Нове тривожне дослідження лабораторій NSS свідчить, що в середньому хакери мають близько п'яти місяців безперебійного доступу до цих дірок у безпеці між початковим виявленням та відновленням. Гірше, існують спеціалізовані ринки, щоб продати щойно виявлені вразливості.
Доктор Стефан Фрей, директор з досліджень в лабораторіях NSS, керував дослідженням, яке порівнювало дані за десять років з двох основних "програм придбання вразливих місць". У доповіді Фрея вказується, що всі отримані цифри є мінімальними; очевидно, що ще багато чого відбувається, про що вони просто не знають. Виходячи з того, що вони знають, за останні кілька років ринок інформації про подвиги значно зріс. Десять років тому дві досліджені компанії мали в кілька днів нерозкриту вразливість. За останні кілька років ця кількість зросла до понад 150, понад 50 з яких відносяться до п’ятірки кращих постачальників: Microsoft, Apple, Oracle, Sun та Adobe.
Подвиги на продаж, дешево
Stuxnet та інші атаки на рівні національної держави покладаються на кілька нерозкритих дірок у безпеці для проникнення в безпеку. Передбачається, що їхні творці платять величезні дивіденди для отримання ексклюзивного доступу до цих вразливих днів. Національна агенція з питань безпеки (США) запланувала 25 мільйонів доларів США на придбання експлуатації в 2013 році. Дослідження Фрея показало, що ціни зараз значно нижчі; як і раніше висока, але в межах досяжності кіберзлочинних організацій.
Фрей цитує статтю New York Times, в якій розглянув чотирьох постачальників бутіків з експлуатації. Їх середня ціна на знання ще нерозкритої вразливості становила від 40 000 до 160 000 доларів. На основі інформації, отриманої від цих постачальників, він робить висновок, що вони можуть доставляти щонайменше 100 ексклюзивних подвигів на рік.
Продавці відбиваються назад
Деякі виробники програмного забезпечення пропонують помилки, створюючи своєрідну дослідницьку програму. Дослідник, який виявить невідому раніше безпеку, може отримати законну винагороду безпосередньо від постачальника. Це, безумовно, безпечніше, ніж спілкуватися з кібер-шахраями або з тими, хто продає кібер-шахраям.
Типові баунти від клопів коливаються від сотень до тисяч доларів. Корпорація Майкрософт "Пом'якшення обходу за пом'якшення" виплачує 100 000 доларів, але це не проста сума багів. Щоб заробити це, дослідник повинен відкрити "по-справжньому нову техніку експлуатації", яка може підірвати останню версію Windows.
Ви були зламані
Бунти-баги приємні, але завжди знайдуться ті, хто піде на більшу винагороду, яку пропонують провайдери бутік-експлуатування та кібер-злочинці. У звіті робиться висновок, що будь-яке підприємство чи велика організація повинні припустити, що його мережа вже була зламана. Блокувати або навіть виявити атаку з нульовим днем важко, тому команда безпеки повинна планувати найгірше з чітко визначеним планом реагування на інцидент.
А як щодо малого бізнесу та персональних мереж? У звіті не йдеться про них, але я припускаю, що той, хто заплатив за доступ до експлуатації 40 000 доларів США або більше, націлить його на найбільшу можливу ціль.
Повний звіт можна прочитати на веб-сайті лабораторій NSS.
