Video: Neene Modalu Neene Kone | Kiss | Viraat, Sreeleela | A P Arjun | Adi Hari | Shreya Ghoshal (September 2024)
Den andra tisdagen i varje månad, "Patch Tuesday", skjuter Microsoft ut patchar för buggar och säkerhetshål i Windows och i Microsoft-applikationer. De flesta av de problem som behandlas inkluderar allvarliga säkerhetshål, programmeringsfel som kan låta hackare penetrera nätverkssäkerhet, stjäla information eller köra godtycklig kod. Adobe, Oracle och andra leverantörer har sina egna patch-scheman. En oroväckande ny studie från NSS Labs antyder att hackare i genomsnitt har cirka fem månader obunden tillgång till dessa säkerhetshål mellan första upptäckten och sanering. Det är värre att det finns specialiserade marknadsplatser för att sälja nyupptäckta sårbarheter.
Dr Stefan Frei, forskningsdirektör vid NSS Labs, övervakade en studie som övergick över tio års data från två stora "sårbarhetsinköpsprogram." Freis rapport påpekar att alla de resulterande siffrorna är minimum. det finns helt klart mycket mer som de helt enkelt inte vet om. Baserat på vad de vet, har marknaden för information om exploatering växt markant de senaste åren. För tio år sedan hade de två undersökta företagen bara en handfull avslöjade sårbarheter på en given dag. Under de senaste åren har antalet ökat till över 150, varav över 50 avser de fem bästa leverantörerna: Microsoft, Apple, Oracle, Sun och Adobe.
Försäljningar, billiga
Stuxnet och andra attacker på nationstatsnivå förlitar sig på flera icke avslöjade säkerhetshål för att penetrera säkerheten. Det antas att deras skapare betalar enorma utdelningar för att få exklusiv tillgång till dessa nolldagars sårbarheter. NSA budgeterade 25 miljoner dollar för exploateringsköp 2013. Freis studie avslöjade att priserna nu är mycket lägre; fortfarande högt, men inom räckhåll för cyberkriminella organisationer.
Frei citerar en artikel i New York Times som undersökte fyra leverantörer av butiksutnyttjande. Deras genomsnittspris för kunskap om en ännu ej avslöjad sårbarhet varierade mellan $ 40 000 och $ 160 000. Baserat på information från dessa leverantörer drar han slutsatsen att de kan leverera minst 100 exklusiva exploateringar per år.
Säljare slå tillbaka
Vissa mjukvaruleverantörer erbjuder bounties, vilket skapar ett slags forskningsprogram för folkmassor. En forskare som upptäcker ett tidigare okänt säkerhetshål kan få en legitim belöning direkt från säljaren. Det är säkert säkrare än att handla med cyber-skurkar, eller med de som säljer till cyber-skurkar.
Typiska buggottar varierar från hundratals till tusentals dollar. Microsofts "Mitigation Bypass Bounty" betalar ut 100 000 dollar, men det är inte en enkel buggubb. För att tjäna det måste en forskare upptäcka en "verkligt ny exploateringsteknik" som kan undergräva den senaste versionen av Windows.
Du har blivit hackad
Bugga-belöningar är trevliga, men det kommer alltid att finnas de som går för den större belöningen som erbjuds av butiksutnyttjande leverantörer och cyberkriminella. Rapporten drar slutsatsen att alla företag eller stora organisationer bör anta att dess nätverk redan har hackats. Att blockera eller till och med upptäcka en attack på noll dagar är tufft, så säkerhetsteamet bör planera för det värsta med en väldefinierad händelseplan.
Vad sägs om småföretag och personliga nätverk? Rapporten talar inte om dem, men jag antar att någon som betalade 40 000 dollar eller mer för tillgång till en exploit skulle rikta den till det största möjliga målet.
Du kan läsa hela rapporten på NSS Labs webbplats.
