Bezpečnostní informace: Na oficiální databáze nelze spoléhat

Pavel Houser , 01. září 2017 13:45 0 komentářů
Bezpečnostní informace: Na oficiální databáze nelze spoléhat

Více než tři čtvrtiny bezpečnostních zranitelností je nejprve veřejně publikována on-line nebo dokonce v podzemních fórech temného webu, než se dostanou do některé z oficiálních centralizovaných databází zranitelností, jako je NIST/National Vulnerability Database.

Takový je alespoň závěr analýzy společnosti Recorded Future. Studie je založena na datech o více než 12 500 chybách od počátku roku 2016. Prodleva mezi zveřejněním informací o zranitelnosti a jejím zveřejněním v rámci databáze NVD byla v průměru 7 dní.

Další mezera existuje mezi publikací zranitelnosti v NVD a oficiální reakcí dodavatele softwaru. Ti někdy zveřejňují informaci prakticky souběžně nebo o den později, někdy ale ale se zdržením mnoha měsíců. Recorded Future uvádí i zpoždění v průměru 172 dní. Obecně lze říci, že např. Microsoft a Adobe, na jejich produkty připadá velký podíl reportovaných bezpečnostních chyb, postupují rychle. Celkem malou prodlevu v řádu pár dní uvádí studie ještě pro Cisco, Mozillu, Oracle, Apple a Google. Pomaleji to funguje např. u jádra Linuxu i dalších součástí tohoto OS a serveru Apache a dalších projektů tohoto dodavatele.

20 % zranitelností je podrobně rozebráno na podzemních fórech před zveřejněním v NVD. Mnohdy publikace příslušné informace zahrnuje i útoky typu proof-of-concept nebo dokonce již i plně funkční metody zneužití. V případě známé zranitelnosti Dirty Cow v jádře Linuxu předcházel kód zneužití proof-of-concept až o 15 dní publikaci chyby v NVD.

Letos v červnu ještě na zveřejnění v NVD čekalo více než 500 zranitelností, o nichž se objevily informace v roce 2016. Z toho všeho vyplývá, že bezpečnostní specialisté ani bezpečnostní firmy nemohou spoléhat na jediné místo („oficiální“/centrální zdroj), odkud by brali informace, ale musejí integrovat data z různých kanálů, sledovat blogy, sociálních sítě, stránky dodavatelů softwaru, případně dokonce své vlastní senzory, honeypoty nebo i „temnou“ část webu.

Zdroj: The Register


Komentáře

RSS 

Komentujeme

Deset minut s Einsteinem

Richard Jan Voigts , 18. listopad 2017 10:45
Richard Jan Voigts

Při návštěvě Švýcarska jsme strávili den na Eidgenoessiche Technische Hochschule Zurich – Swiss Fede...

Více







RSS 

Zprávičky

Prodeje potravin přes internet jsou v ČR třetí nejvyšší v Evropě

ČTK , 18. listopad 2017 08:00

Další inovace? Nabízí se např. doručování až domů bez přítomnosti majitele......

Více 0 komentářů

Slovenské soudy zakázaly přístup k více než 30 webům s hazardem

ČTK , 17. listopad 2017 09:00

Podobnou úpravu proti nepovoleným hazardním hrám jako Slovensko uplatňují i další členské země EU....

Více 1 komentářů

Foxconnu klesl čtvrtletní zisk o 39 %

ČTK , 17. listopad 2017 08:00

V důsledku slabého zájmu o iPhone 8 a problémům při výrobě iPhone X akcie společnosti za poslední tř...

Více 0 komentářů

Starší zprávičky

MPSV odstoupilo od zakázky na systém dávek za stovky milionů Kč

ČTK , 16. listopad 2017 17:45

Nový systém pro vyplácení dávek za stovky milionů korun úřady práce příští rok mít nebudou. ...

Více 0 komentářů

Europoslanci schválili větší ochranu při nákupech v e-shopech

ČTK , 16. listopad 2017 09:00

Nedůvěra spotřebitelů k nákupu v zahraničí stále přetrvává....

Více 0 komentářů

Apple ovládl trh s nositelnou elektronikou

ČTK , 16. listopad 2017 08:00

Apple v počtu prodaných kusů dosud zaostával za výrobci levnějších fitness náramků....

Více 0 komentářů

Rok 2018 bude pro kontaktní centra ve znamení automatizace a IoT

Pavel Houser , 15. listopad 2017 11:00

Bosch do svých praček montuje snímače, které odhalí, že se buben otáčí 5 000 otáček za minutu namíst...

Více 0 komentářů