הרשת שלך נפרצה: התרגל לזה

ביום שלישי השני של כל חודש, "תיקון יום שלישי, " מיקרוסופט דוחפת טלאים לבאגים וחורי אבטחה במערכות Windows וביישומי מיקרוסופט. רוב הזמן הבעיות בהן טופלו כוללות חורי אבטחה רציניים, שגיאות תכנות העלולות לאפשר להאקרים לחדור לאבטחת רשת, לגנוב מידע או להריץ קוד שרירותי. ל- Adobe, Oracle וספקים אחרים יש לוחות זמנים לתיקון משלהם. מחקר חדש ומדאיג על ידי מעבדות NSS מציע כי בממוצע, יש להאקרים כחמישה חודשים של גישה בלתי מוגבלת לחורי האבטחה הללו בין גילוי ראשוני לתיקון. גרוע מכך, קיימים מקומות מיוחדים המיועדים למכירת פגיעויות שהתגלו לאחרונה.

ד"ר סטפן פריי, מנהל מחקר במעבדות NSS, פיקח על מחקר שיצר יותר מעשר שנות נתונים משתי תוכניות רכישת פגיעות מרכזיות. " הדו"ח של פריי מציין כי כל הנתונים המתקבלים הם מינימום; ברור שיש עוד הרבה דברים שהם פשוט לא יודעים עליהם. בהתבסס על מה שהם יודעים, שוק המידע על עלילות צמח משמעותית בשנים האחרונות. לפני עשר שנים, לשתי החברות שנחקרו היו רק קומץ נקודות תורפה שלא נחשפו בכל יום נתון. בשנים האחרונות מספר זה צמח ליותר מ -150, כאשר למעלה מ -50 מתייחסים לחמשת הספקים המובילים: מיקרוסופט, אפל, אורקל, סאן ואדובי.

ניצולים למכירה, זולים

סטוקסנט והתקפות אחרות ברמה של מדינת הלאום מסתמכות על חורי אבטחה מרובים שלא נחשפו כדי לחדור לביטחון. ההנחה היא כי יוצריהם משלמים דיבידנדים אדירים כדי לקבל גישה בלעדית לפגיעויות אלה של יום אפס. ה- NSA תקצב 25 מיליון דולר לרכישת ניצול בשנת 2013. המחקר של פריי גילה כי המחירים כעת נמוכים בהרבה; עדיין גבוה, אך בהישג ידם של ארגוני פשיעה ברשת.

פריי מצטט מאמר של ניו יורק טיימס שבחן ארבע ספקיות לניצול בוטיק. המחיר הממוצע שלהם לידע על פגיעות שטרם נחשפה נע בין 40, 000 ל 160, 000 $. בהתבסס על מידע שהתקבל מאותם ספקים, הוא מסיק שהם יכולים לספק לפחות 100 מעללים בלעדיים בשנה.

ספקים נלחמים בחזרה

ספקי תוכנה מסוימים מציעים תגמולים באגים, ויוצרים מעין תוכנית מחקר המוצעת על ידי המונים רבים. חוקר שמגלה חור אבטחה שלא היה ידוע בעבר יכול לקבל תגמול לגיטימי ישירות מהספק. זה בטח בטוח יותר מאשר להתמודד עם נוכלים בסייבר, או עם מי שמוכר לנוכלי סייבר.

שפע באגים אופייני נע בין מאות לאלפי דולרים. "שובר המימון המקיף" של מיקרוסופט משלם 100, 000 דולר, אבל זה לא באונטי באג פשוט. כדי להרוויח זאת, על חוקר לגלות "טכניקת ניצול רומן באמת" שיכולה להטות את הגירסה האחרונה של Windows.

נפרצתם

פרסי באגים הם נחמדים, אבל תמיד יהיו מי שהולכים על הפרס הגדול יותר שמציעים ספקי ניצול בוטיק ופושעי סייבר. הדו"ח מסיק כי כל עסק או ארגון גדול צריכים להניח שהרשת שלו כבר נפרצה. חסימת התקפה או אפילו גילוי התקפה בת יום אפס קשה, ולכן צוות האבטחה צריך לתכנן את הגרוע ביותר עם תוכנית תגובה מוגדרת היטב לאירועים.

מה לגבי רשתות עסקיות קטנות ואישיות? הדו"ח לא מדבר עליהם, אבל אני מניח שמישהו ששילם 40, 000 $ ומעלה עבור גישה למנצל יכוון אותו אל היעד הגדול ביותר האפשרי.

אתה יכול לקרוא את הדו"ח המלא באתר מעבדות NSS.