Видео: Настя и сборник весёлых историй (Октября 2024)
Во второй вторник каждого месяца, «вторник исправлений», Microsoft выпускает исправления для ошибок и брешей в безопасности в Windows и в приложениях Microsoft. В большинстве случаев решаемые проблемы включают серьезные дыры в безопасности, ошибки программирования, которые могут позволить хакерам проникнуть в сетевую безопасность, украсть информацию или выполнить произвольный код. Adobe, Oracle и другие поставщики имеют свои собственные графики исправлений. Тревожное новое исследование NSS Labs предполагает, что в среднем хакеры имеют около пяти месяцев беспрепятственного доступа к этим дырам в безопасности между первоначальным обнаружением и исправлением. Хуже того, существуют специализированные торговые площадки для продажи недавно обнаруженных уязвимостей.
Доктор Стефан Фрей, директор по исследованиям в NSS Labs, наблюдал за исследованием, в котором были собраны данные более чем за десять лет из двух основных «программ покупки уязвимостей». Отчет Фрея указывает, что все полученные цифры являются минимальными; очевидно, происходит еще много чего, о чем они просто не знают. Исходя из того, что они знают, рынок информации о подвигах значительно вырос за последние несколько лет. Десять лет назад две исследованные компании имели лишь несколько нераскрытых уязвимостей в любой день. За последние несколько лет это число выросло до 150, более 50 из которых относятся к пяти крупнейшим поставщикам: Microsoft, Apple, Oracle, Sun и Adobe.
Эксплойты на продажу, дешево
Stuxnet и другие атаки на уровне государства-государства используют многочисленные нераскрытые дыры в безопасности для проникновения в систему безопасности. Предполагается, что их создатели платят огромные дивиденды, чтобы получить эксклюзивный доступ к этим уязвимостям нулевого дня. В 2013 году АНБ выделило 25 миллионов долларов на приобретение эксплойтов. Исследование Фрея показало, что цены сейчас намного ниже; все еще высокий, но в пределах досягаемости киберпреступных организаций.
Фрей цитирует статью в «Нью-Йорк Таймс», в которой рассматриваются четыре провайдера бутиковых эксплойтов. Их средняя цена за информацию о еще не раскрытой уязвимости колебалась в диапазоне от 40 000 до 160 000 долл. США. На основании информации, полученной от этих провайдеров, он приходит к выводу, что они могут доставлять не менее 100 эксклюзивных эксплойтов в год.
Борьба поставщиков
Некоторые поставщики программного обеспечения предлагают множество багов, создавая краудсорсинговую исследовательскую программу. Исследователь, обнаруживший ранее неизвестную дыру в безопасности, может получить законное вознаграждение непосредственно от продавца. Это, безусловно, безопаснее, чем иметь дело с кибер-преступниками или с теми, кто продает кибер-преступникам.
Типичные награды за ошибки варьируются от сотен до тысяч долларов. Microsoft «Mitigation Bypass Bounty» выплачивает 100 000 долларов, но это не простая ошибка за вознаграждение. Чтобы заслужить это, исследователь должен обнаружить «по-настоящему новую технику эксплуатации», которая может испортить последнюю версию Windows.
Вы были взломаны
Плата за ошибки хороша, но всегда найдутся те, кто получит большую награду, предлагаемую поставщиками эксплойтов и киберпреступниками. В отчете делается вывод, что любое предприятие или крупная организация должны предполагать, что их сеть уже взломана. Трудно заблокировать или даже обнаружить атаку нулевого дня, поэтому команда безопасности должна планировать худшее с четко определенным планом реагирования на инциденты.
А как насчет малого бизнеса и личных сетей? В отчете о них не говорится, но я предполагаю, что тот, кто заплатил 40 000 долларов или больше за доступ к эксплойту, нацелит его на самую большую возможную цель.
Вы можете прочитать полный отчет на веб-сайте NSS Labs.
