Нарастват критичните уязвимости с ниска сложност

През 2020 г. са разкрити повече уязвимости в сигурността, отколкото през която и да е друга година
(снимка: CC0 Public Domain)

Ситуацията в света на информационната сигурност може да се оприличи на война, в която всички воюват с всички възможни средства. Че добре организирани кибер-криминални групи се възползваха от пандемията с цел измами и кражба – това е ясно на всички; според едно ново проучване обаче през 2020 година са нараснали критичните уязвимости и уязвимостите с ниска сложност.

Redscan – фирма, предлагаща управляема услуга по откриване на уязвимости и тестове за проникване – публикува доклад за тенденциите, които е установила през 2020 година. Регистрирани са общо над 18 000 уязвимости през 2020 г., над 10 000 от които са били „критични“ или „с най-висока степен на сериозност от всички времена“. Интересна тенденция е, че нарастват уязвимостите с ниска сложност, както и тези, които не изискват никакво взаимодействие с потребителя, за да бъдат използвани.

Тези тенденции следва да предизвикат загриженост у екипите по сигурността. Ситуацията подчертава необходимостта организациите да фокусират усилията си за управление на „кръпките“ и да възприемат многопластов подход за управление на уязвимостите. Съществуват обаче и положителни тенденции, като например намаляване на т. нар. „общи уязвимости и слабости“ (CVE), които не изискват привилегии за експлоатация.

Основните открития на Redscan гласят:

През 2020 г. са разкрити повече уязвимости в сигурността (18 103), отколкото през която и да е друга година по-рано, при среден процент от 50 CVE на ден;

57% от уязвимостите през 2020 г. са класифицирани като „критични“ или „с висока степен на сериозност“ (10 342);

CVE с ниска сложност нарастват; те вече представляват 63% от разкритите уязвимости през 2020 г.

Уязвимостите, които не изискват потребителско взаимодействие за експлоатация, също се увеличават; те представляват 68% от всички CVE, регистрирани през 2020 г.

Уязвимостите, които не изискват потребителски привилегии за използване, намаляват (от 71% през 2016 г. до 58% през 2020 г.).

„Анализът предлага смесена перспектива за екипите по сигурността“, казва Джордж Глас, ръководител на разузнаването за заплахи в Redscan, цитиран от SecurityBrief. „Уязвимостите се увеличават, включително някои от най-опасните варианти. Въпреки това наблюдаваме повече положителни признаци, включително спад в процента на уязвимостите, които не изискват потребителски привилегии за експлоатация“, казва той.

„Когато анализират потенциалния риск, който уязвимостите представляват, организациите трябва да вземат предвид не само оценката си за сериозността. Много CVE никога или рядко се експлоатират в реалния свят, защото са твърде сложни или изискват от нападателите да имат достъп до определени права от високо ниво. Подценяването на уязвимостите с нисък риск може да остави организациите отворени за „верижни пробиви“ – ситуации, при които нападателите преминават от една уязвимост към друга, докато постепенно получават достъп на все по-критични данни и ресурси“, пояснява специалистът.

Глас казва, че идентифицирането на уязвимостите, които трябва да се приоритетизират, е вечно предизвикателство за ИТ сигурността, особено в ситуация, когато броят на CVE продължава да расте. „За да подпомогнат вземането на решения, екипите по сигурност се нуждаят от практическо разбиране на потенциалното въздействие, което уязвимостите представляват – и колко лесно се експлоатират в дивата природа“, казва той.

Защитата в дълбочина също е важна. Не всички уязвимости са известни и коригирани, така че нападателите в крайна сметка могат да намерят начин да пробият защитата на организацията. „Номерът е да се въведат допълнителни контроли, като непрекъснато наблюдение на мрежата и крайните точки, за да се намалят рисковете“, завършва Глас.

Коментар