Bezpečnostní informace: Na oficiální databáze nelze spoléhat

Pavel Houser , 01. září 2017 13:45 0 komentářů
Bezpečnostní informace: Na oficiální databáze nelze spoléhat

Více než tři čtvrtiny bezpečnostních zranitelností je nejprve veřejně publikována on-line nebo dokonce v podzemních fórech temného webu, než se dostanou do některé z oficiálních centralizovaných databází zranitelností, jako je NIST/National Vulnerability Database.

Takový je alespoň závěr analýzy společnosti Recorded Future. Studie je založena na datech o více než 12 500 chybách od počátku roku 2016. Prodleva mezi zveřejněním informací o zranitelnosti a jejím zveřejněním v rámci databáze NVD byla v průměru 7 dní.

Další mezera existuje mezi publikací zranitelnosti v NVD a oficiální reakcí dodavatele softwaru. Ti někdy zveřejňují informaci prakticky souběžně nebo o den později, někdy ale ale se zdržením mnoha měsíců. Recorded Future uvádí i zpoždění v průměru 172 dní. Obecně lze říci, že např. Microsoft a Adobe, na jejich produkty připadá velký podíl reportovaných bezpečnostních chyb, postupují rychle. Celkem malou prodlevu v řádu pár dní uvádí studie ještě pro Cisco, Mozillu, Oracle, Apple a Google. Pomaleji to funguje např. u jádra Linuxu i dalších součástí tohoto OS a serveru Apache a dalších projektů tohoto dodavatele.

20 % zranitelností je podrobně rozebráno na podzemních fórech před zveřejněním v NVD. Mnohdy publikace příslušné informace zahrnuje i útoky typu proof-of-concept nebo dokonce již i plně funkční metody zneužití. V případě známé zranitelnosti Dirty Cow v jádře Linuxu předcházel kód zneužití proof-of-concept až o 15 dní publikaci chyby v NVD.

Letos v červnu ještě na zveřejnění v NVD čekalo více než 500 zranitelností, o nichž se objevily informace v roce 2016. Z toho všeho vyplývá, že bezpečnostní specialisté ani bezpečnostní firmy nemohou spoléhat na jediné místo („oficiální“/centrální zdroj), odkud by brali informace, ale musejí integrovat data z různých kanálů, sledovat blogy, sociálních sítě, stránky dodavatelů softwaru, případně dokonce své vlastní senzory, honeypoty nebo i „temnou“ část webu.

Zdroj: The Register


Komentáře

RSS 

Komentujeme

Co s genetickými databázemi?

Pavel Houser , 07. říjen 2018 15:00
Pavel Houser

Jak bylo oznámeno již v letos dubnu, tzv. zabijáka z Golden State odhalily veřejné genetické databáz...

Více

Kalendář

17. 10.

19. 10.
Future Forces Forum 2018
19. 10.

21. 10.
Game City 2018
20. 10. WordCamp Brno 2018







RSS 

Zprávičky

Francouzská OVH chce v cloudu konkurovat Googlu a Amazonu

ČTK , 18. říjen 2018 13:24

Francouzský poskytovatel webhostingu a cloudových služeb OVH hodlá v příštích letech ztrojnásobit in...

Více 0 komentářů

ČTÚ dal pokutu T-Mobile

Pavel Houser , 18. říjen 2018 09:00

Mimosoudní vymáhání neplatně sjednaných smluvních pokut je agresivní obchodní praktikou. ČTÚ za tent...

Více 1 komentářů

Výnos operátorů za minutu hovoru za šest let klesl na polovinu

ČTK , 18. říjen 2018 08:00

Průměrný výnos tuzemských mobilních operátorů za jednu minutu hovoru klesl za šest let na polovičníc...

Více 0 komentářů

Starší zprávičky

Slovenské ministerstvo zahraničí bylo cílem kybernetického útoku

ČTK , 17. říjen 2018 15:12

Zatím není známo, k jakým dokumentům se útočníci mohli dostat....

Více 0 komentářů

Výrobce telefonů čekají v Evropě poplatky za Google Play

ČTK , 17. říjen 2018 10:00

Zavedení licenčních poplatků má podle Google kompenzovat výpadek příjmů spojený se splněním požadavk...

Více 1 komentářů

Primární nabídka by mohla ohodnotit Uber až na 120 mld. dolarů

ČTK , 17. říjen 2018 09:00

Částka by to byla větší než hodnota automobilek General Motors, Ford a Chrysler Fiat dohromady....

Více 0 komentářů

Počet výdejních míst českých e-shopů letos přesáhne 9600

ČTK , 17. říjen 2018 08:00

Vyzvednutí zboží nakoupeného na internetu na výdejním místě v okolí bydliště je stále oblíbenější na...

Více 0 komentářů