Hirdetés
. Hirdetés

Óvatosan a sérülékenységekkel!

|

Negatív rekordot dönthet idén a jelentett sérülékenységek száma, de alábecsülhetjük veszélyességüket.

Hirdetés

Az év első hat hónapja során gyűjtött adatok alapján az IBM X-Force IT-biztonsági kutatói szerint idén – 2011 óta először – ismét a 8 ezres határ alá csökkenhet a nyilvánosságra hozott szoftversérülékenységek száma. Az eddig jelentett biztonsági rések többsége közepesen magas kockázati szintű volt, azonban az értékelésükre használt rendszer, a Common Vulnerability Scoring System (CVSS) gyakran nem tükrözi veszélyességük valódi fokát, hívták fel a figyelmet a héten közreadott elemzésükben (IBM X-Force Threat Intelligence Quarterly, Q3 2014) a szakemberek.

Mintegy 3900 újonnan felfedezett sérülékenységet azonosítottak a januártól júniusig terjedő időszakban az X-Force kutatói, akik – az IBM által 2006-ban felvásárolt Internet Security Systems kutatási és fejlesztési ágazatán belül – 1997 óta gyűjtik és elemzik a szoftverszállítók által, valamint a biztonsági résekkel foglalkozó ágazati fórumokon, levelezőlistákon közzétett adatokat és információkat. Ha a nyilvánosságra hozott sérülékenységek száma 2014 második felében is hasonlóan alakul, akkor idén pár százzal kevesebb lehet belőlük, mint az elmúlt két évben.

 

Korai lenne azonban még fellélegezni a statisztika láttán. A sérülékenységek mintegy harmadát (32 százaléka) az idei év első felében is a 10 legnagyobb szoftverszállító termékeiben fedezték fel. Ez az arány 2013-ban 34 százalék volt. Elgondolkodtató azonban, hogy míg tavaly összesen 1602 szállító tett közzé információkat a szoftvertermékeiben talált biztonsági réseket illetően, addig ez a szám 2014-ben csaknem a felére, 926-ra csökkent.

A sérülékenységek puszta számánál persze sokkal fontosabb, hogy mekkora biztonsági kockázatot jelentenek. Ennek megítélését a szakma a CVSS rendszer megalkotásával igyekezett szabványosítani, azonban már a múltban többen kétségbe vonták, hogy a módszerrel hiteles kép alkotható a veszély mértékéről, amelyet egy-egy sérülékenység jelent. Az immár második verziójánál tartó CVSS hiányosságai az Open SSL könyvtárban idén áprilisban felfedezett és Heartbleed néven elhíresült sérülékenység kiértékelésekor ismételten megmutatkoztak. Közepesen veszélyesnek – 10-es skálán 5-ös erősségűnek – minősítette ugyanis a CVSS a becslések szerint két éve fennálló sérülékenységet, amely jóformán az internet egész infrastruktúráját, így potenciálisan a legnépszerűbb online szolgáltatások többségét, felhasználók százmillióit érinthette.

Óhatatlanul felmerül a kérdés, hogy a CVSS a Heartbleedhez hasonlóan mely sérülékenységeknek adhatott még 4,0 és 6,9 közötti, közepes kockázati szintet jelölő pontszámot – tévesen.

Jóllehet a CVSS 2-es verziója előrelépést hozott, a sérülékenységek egyes típusait és vektorait nem támogatja, illetve írja le megfelelően, ami szubjektív és következetlen értékeléshez vezet, mutattak rá a X-Force kutatói. Miután a szabvány alkalmazása éppen ennek hivatott elejét venni, itt az ideje, hogy a CVSS-t gondozó szervezet, a Forum for Incident Response and Security Teams (FIRST) verziófrissítéssel kezelje a problémát.

Hirdetés

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!

Hirdetés
0 mp. múlva automatikusan bezár Tovább az oldalra »

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://computerworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.