Bezpečnostní informace: Na oficiální databáze nelze spoléhat

Pavel Houser , 01. září 2017 13:45 0 komentářů
Bezpečnostní informace: Na oficiální databáze nelze spoléhat

Více než tři čtvrtiny bezpečnostních zranitelností je nejprve veřejně publikována on-line nebo dokonce v podzemních fórech temného webu, než se dostanou do některé z oficiálních centralizovaných databází zranitelností, jako je NIST/National Vulnerability Database.

Takový je alespoň závěr analýzy společnosti Recorded Future. Studie je založena na datech o více než 12 500 chybách od počátku roku 2016. Prodleva mezi zveřejněním informací o zranitelnosti a jejím zveřejněním v rámci databáze NVD byla v průměru 7 dní.

Další mezera existuje mezi publikací zranitelnosti v NVD a oficiální reakcí dodavatele softwaru. Ti někdy zveřejňují informaci prakticky souběžně nebo o den později, někdy ale ale se zdržením mnoha měsíců. Recorded Future uvádí i zpoždění v průměru 172 dní. Obecně lze říci, že např. Microsoft a Adobe, na jejich produkty připadá velký podíl reportovaných bezpečnostních chyb, postupují rychle. Celkem malou prodlevu v řádu pár dní uvádí studie ještě pro Cisco, Mozillu, Oracle, Apple a Google. Pomaleji to funguje např. u jádra Linuxu i dalších součástí tohoto OS a serveru Apache a dalších projektů tohoto dodavatele.

20 % zranitelností je podrobně rozebráno na podzemních fórech před zveřejněním v NVD. Mnohdy publikace příslušné informace zahrnuje i útoky typu proof-of-concept nebo dokonce již i plně funkční metody zneužití. V případě známé zranitelnosti Dirty Cow v jádře Linuxu předcházel kód zneužití proof-of-concept až o 15 dní publikaci chyby v NVD.

Letos v červnu ještě na zveřejnění v NVD čekalo více než 500 zranitelností, o nichž se objevily informace v roce 2016. Z toho všeho vyplývá, že bezpečnostní specialisté ani bezpečnostní firmy nemohou spoléhat na jediné místo („oficiální“/centrální zdroj), odkud by brali informace, ale musejí integrovat data z různých kanálů, sledovat blogy, sociálních sítě, stránky dodavatelů softwaru, případně dokonce své vlastní senzory, honeypoty nebo i „temnou“ část webu.

Zdroj: The Register


Komentáře

RSS 

Komentujeme

Vládní čtvrť a vládní systém, tedy ten informační

Petr Zavoral , 06. leden 2018 16:15
Petr Zavoral

Jeden ze zakladatelů enterprise architektury John Zachman srovnává IT v institucích s Boeingem: Firm...

Více







Kalendář

18. 01.

19. 01.
itSMF 2018
29. 01.

30. 01.
G2BTechEd
30. 01. Ecommerce Expo Prague 2018

RSS 

Zprávičky

Apple se vrací do USA

ČTK , 18. leden 2018 10:07

Firma Apple plánuje postavit další firemní kampus ve Spojených státech a najmout v zemi v příštích p...

Více 0 komentářů

Prodej přes Internet zničí dealery aut

ČTK , 18. leden 2018 10:02

Do roku 2025 celosvětově zanikne 30 až 50 % klasických automobilových dealerství. ...

Více 0 komentářů

Bitcoin se poprvé od začátku prosince propadl pod 10 000 dolarů

ČTK , 18. leden 2018 08:00

"Co se týče kryptoměn, obecně mohu téměř s jistotou prohlásit, že dospějí ke špatnému konci," řekl W...

Více 0 komentářů

Starší zprávičky

Digitální fragmentace představuje hrozbu pro další rozvoj firem

Pavel Houser , 17. leden 2018 14:51

Množství restriktivních opatření přijatých státy G20 se mezi lety 2010 a 2016 zčtyřnásobilo....

Více 1 komentářů

V USA prý vyzývají AT&T k přerušení vztahů s Huawei

ČTK , 17. leden 2018 09:00

Zákonodárci údajně varují americké podniky, že vztahy s Huawei či China Mobile snižují jejich šance ...

Více 0 komentářů

Roman Knap jmenován generálním ředitelem SAP Slovensko

Pavel Houser , 17. leden 2018 08:00

R. Knap v letech 2012–2014 zastával pozici generálního ředitele SAP Slovensko, od roku 2014 je gener...

Více 0 komentářů

Bitcoin ztrácí 18 %, dolů ho tlačí obavy z regulace

ČTK , 16. leden 2018 12:18

Trhy se obávají regulace obchodů po oznámení jihokorejského ministra financí....

Více 0 komentářů