Całkowita liczba Typowe luki i zagrożenia Według nowych danych opublikowanych przez specjalistę ds. aktywnych ubezpieczeń cybernetycznych liczba CVE w segmencie sprzętu i systemu IT będzie przez cały czas rosła w 2024 r. Koalicjaktóre przewiduje, iż liczba CVE wzrośnie o 25% do 34 888 vulnów, czyli około 2900 co miesiąc.
CVE to unikalne identyfikatory dołączone do nowo ujawnionych luk w zabezpieczeniach, w tym dni zerowych. Mają ten sam format, CVE-2024-XXXXXX, gdzie pierwszy zestaw cyfr reprezentuje rok, a drugi numer przypisany z bloku.
Program CVE jest nadzorowany poza Stanami Zjednoczonymi przez Firma MITERprzy wsparciu Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), ale MITER nie zawsze przydziela numery CVE. Częściej robi to organ numerujący CVE (CNA), którego jest wiele, w tym dostawcy tacy jak Cisco, IBM, Microsoft czy Oracle, a także firmy i badacze zajmujący się bezpieczeństwem .
System został zaprojektowany, aby zapewnić specjalistom i obrońcom bezpieczeństwa szybki, łatwy i niezawodny sposób rozpoznawania luk w zabezpieczeniach, a społeczności zajmującej się bezpieczeństwem pomaga koordynować opracowywanie poprawek i innych rozwiązań.
Jednak system nie jest doskonały. Liczba CVE rośnie wykładniczo, a zespoły ds. bezpieczeństwa są już wystarczająco rozciągnięte, a ponadto system nie jest przygotowany do uwydatniania praktycznego wykorzystania w świecie rzeczywistym, dlatego użytkownicy często muszą polegać na badaczach i doniesieniach medialnych na temat „CVE gwiazd” – takich jak osoby stojące za incydentem MOVEit lub Citrix Bleed – aby nadać sens takim kwestiom.
„Nowe luki w zabezpieczeniach są publikowane w szybkim tempie i ich liczba rośnie. Wraz z napływem nowych luk w zabezpieczeniach, często pojawiających się za pośrednictwem różnych systemów sygnalizowania, śledzenie ekosystemu zagrożeń cybernetycznych jest trudne. Większość organizacji odczuwa zmęczenie i zamieszanie związane z tym, co należy najpierw załatać, aby ograniczyć ogólne narażenie i ryzyko” – powiedział Tiago Henriques, szef działu badań w Coalition.
„W dzisiejszym klimacie bezpieczeństwa cybernetycznego nie można oczekiwać od organizacji, iż samodzielnie poradzą sobie ze wszystkimi lukami w zabezpieczeniach; potrzebują kogoś, kto zajmie się problemami związanymi z bezpieczeństwem i pomoże im ustalić priorytety działań naprawczych”.
Koalicja stwierdziła, iż do wzrostu liczby luk w zabezpieczeniach przyczyniło się wiele czynników. Należą do nich komercjalizacja i profesjonalizacja działalności cyberprzestępczej oraz stale rosnące wykorzystanie podziemnych forów, na których sprzedawane są zestawy exploitów, dane uwierzytelniające i dostęp do zaatakowanych sieci.
Odnotowano również wzrost liczby CNA, co spowodowało wzrost liczby odnotowanych luk w zabezpieczeniach.
Dodatkowo wpływ może mieć także rosnąca popularność programów nagród za błędy, ponieważ etyczni hakerzy są zachęcani do szukania problemów, które w przeciwnym razie mogłyby pozostać niezauważone.
Koalicja zauważyła, iż rosnąca liczba luk prowadzi również do większego skupienia się na wyszukiwaniu nowych wśród podmiotów zagrażających.
Wszystko to powoduje ból głowy dla zespołów ds. bezpieczeństwa, które często dysponują niedostatecznymi zasobami, ponieważ nie można oczekiwać, iż będą odpowiadać na choćby 3000 problemów każdego miesiąca
Coalition twierdzi, iż szeroki zakres danych, które gromadzi z Internetu, w tym z sieci Honeypotów, umożliwia jej zrozumienie ryzyka cybernetycznego i dzielenie się przydatnymi spostrzeżeniami zarówno ze swoimi klientami, jak i społecznością zajmującą się bezpieczeństwem.
Opracowała także własny system punktacji exploitów, który, jak ma nadzieję, złagodzi część tej presji i umożliwi ubezpieczającym przyjęcie bardziej opartego na ryzyku i priorytetowego podejścia do swojego unikalnego profilu podatności na zagrożenia, zamiast łatania w ślepej panice w drugi wtorek miesiąca.
MDR: System wczesnego ostrzegania dla obrońców
W raporcie Coalition dodatkowo podkreślono, iż jej sieć Honeypotów i innych narzędzi do śledzenia zagrożeń stała się szczególnie biegła w wykrywaniu wykorzystania wpływowych CVE przez podmioty zagrażające, zanim zostaną one ujawnione.
Firma podała, iż w przypadku CVE-2023-34362, który doprowadził do masowe nadużycia narzędzia do przesyłania plików zarządzanego przez Progress Software MOVEit przez gang ransomware Clop/Cl0p począwszy od końca maja 2023 rjej sieć Honeypot zidentyfikowała aktywność wycelowaną w MOVEit na ponad dwa tygodnie przed wydaniem przez Progress Software pierwszego zalecenia.
Stwierdzono, iż takie zdarzenia, jak MOVEit, ale także Citrix Bleed, mogłyby równie dobrze być znacznie mniej problematyczne niż w rzeczywistości, gdyby więcej organizacji posiadało dedykowane rozwiązania zarządzanego wykrywania i reagowania (MDR).
Dyrektor generalny koalicji ds. bezpieczeństwa, John Roberts, powiedział, iż wierzy, iż MDR może skrócić czas reakcji na atak o połowę.
„Jesteśmy w punkcie, w którym samo ustalenie i zapomnienie rozwiązania technologicznego już nie wystarczy, a eksperci muszą zaangażować się w zarządzanie podatnościami i ryzykiem” – powiedział.
„Dzięki MDR, gdy technologia wykryje podejrzaną aktywność, eksperci mogą interweniować na wiele sposobów, w tym izolować maszyny, których dotyczy problem, lub odbierać uprawnienia. Koalicja ma doświadczenie w robieniu właśnie tego, aby powstrzymać cyberprzestępców w połowie ataku”.
