كل عام ، تنشر شركات الأمن والتكنولوجيا تفاصيل آلاف الثغرات الأمنية. تقوم وسائل الإعلام بالإبلاغ على النحو الواجب عن نقاط الضعف هذه ، وتسليط الضوء على أخطر القضايا وتقديم المشورة للمستخدمين حول كيفية البقاء في أمان.

ولكن ماذا لو أخبرتك أنه من بين تلك الآلاف من نقاط الضعف ، القليل منها يتم استغلاله بنشاط في البرية؟

إذن ما عدد الثغرات الأمنية الموجودة ، وهل تقرر شركات الأمن مدى سوء هذه الثغرة؟

كم عدد الثغرات الأمنية الموجودة؟

كينا للأمن ترتيب الأولويات في سلسلة تقارير التنبؤ وجدت أنه في عام 2019 ، نشرت الشركات الأمنية أكثر من 18000 CVE (نقاط الضعف والتعرض الشائعة).

وبينما يبدو هذا الرقم مرتفعًا ، وجد التقرير أيضًا أنه من بين 18000 نقطة ضعف ، 473 فقط "وصلت إلى استغلال واسع النطاق" ، وهو ما يمثل حوالي 6 بالمائة من الإجمالي. على الرغم من أنه تم بالفعل استغلال هذه الثغرات الأمنية عبر الإنترنت ، فإن هذا لا يعني أن كل متسلل ومهاجم في جميع أنحاء العالم كان يستخدمها.

علاوة على ذلك ، "كان رمز الاستغلال متاحًا بالفعل لأكثر من 50٪ من الثغرات بحلول الوقت الذي تم نشره فيه قائمة مكافحة التطرف العنيف. "أن رمز الاستغلال كان متاحًا بالفعل يبدو مقلقًا في ظاهره ، وهو عبارة عن ملف القضية. ومع ذلك ، فهذا يعني أيضًا أن الباحثين الأمنيين يعملون بالفعل على تصحيح المشكلة.

instagram viewer

الممارسة الشائعة هي تصحيح الثغرات الأمنية في غضون 30 يومًا من نافذة النشر. هذا لا يحدث دائمًا ، ولكن هذا ما تعمل عليه معظم شركات التكنولوجيا.

يوضح الرسم البياني أدناه مزيدًا من التناقض بين عدد التصدي للتطرف العنيف المبلغ عنه والعدد الذي تم استغلاله بالفعل.

تم الكشف عن حوالي 75 في المائة من التطرف العنيف من قبل أقل من 1 من 11000 منظمة ، و 5.9 بالمائة فقط من التطرف العنيف تم اكتشافها بواسطة واحدة من كل 100 منظمة. هذا تماما هو انتشار.

يمكنك العثور على البيانات والأرقام أعلاه في تحديد أولويات حجم التنبؤ 6: فجوة المهاجم-المدافع.

من الذي يعيّن مكافحة التطرف العنيف؟

قد تتساءل من الذي يعين وينشئ مكافحة التطرف العنيف كبداية. لا يمكن لأي شخص تحديد CVE. يوجد حاليًا 153 منظمة من 25 دولة مصرح لها بتعيين مكافحة التطرف العنيف.

هذا لا يعني أن هذه الشركات والمؤسسات فقط هي المسؤولة عن الأبحاث الأمنية حول العالم. على العكس من ذلك، في الواقع. ما يعنيه هذا هو أن هذه المنظمات الـ 153 (المعروفة باسم سلطات ترقيم CVE ، أو CNAs باختصار) تعمل وفقًا لمعيار متفق عليه لإطلاق الثغرات الأمنية في المجال العام.

إنه موقف تطوعي. يجب على المنظمات المشاركة إثبات "القدرة على التحكم في الكشف عن الضعف المعلومات دون نشر مسبق "، بالإضافة إلى العمل مع الباحثين الآخرين الذين يطلبون معلومات حول نقاط الضعف.

هناك ثلاثة جذر CNAs ، والتي تقع في الجزء العلوي من التسلسل الهرمي:

  • شركة MITER
  • وكالة الأمن السيبراني وأمن البنية التحتية (CISA) أنظمة التحكم الصناعي (ICS)
  • JPCERT / CC

جميع CNAs الأخرى تقدم تقاريرها إلى واحدة من هذه السلطات الثلاث عالية المستوى. تعد شهادات CNA في الغالب من شركات التكنولوجيا ومطوري الأجهزة والبائعين مع التعرف على الأسماء ، مثل Microsoft و AMD و Intel و Cisco و Apple و Qualcomm وما إلى ذلك. قائمة CNA الكاملة متاحة على موقع MITER.

الإبلاغ عن الضعف

يتم تعريف الإبلاغ عن الثغرات أيضًا من خلال نوع البرنامج والنظام الأساسي الذي تم العثور على الثغرة الأمنية عليه. يعتمد أيضًا على من وجده في البداية.

على سبيل المثال ، إذا وجد باحث أمني ثغرة أمنية في بعض البرامج الاحتكارية ، فمن المحتمل أن يبلغ البائع عنها مباشرةً. بدلاً من ذلك ، إذا تم العثور على الثغرة الأمنية في برنامج مفتوح المصدر ، فقد يفتح الباحث مشكلة جديدة في صفحة تقرير المشروع أو المشكلات.

ومع ذلك ، إذا اكتشف شخص شرير الثغرة الأمنية أولاً ، فقد لا يكشف عنها للبائع المعني. عندما يحدث هذا ، قد لا يدرك الباحثون والموردون الأمنيون الثغرة الأمنية حتى يتم اكتشافها تستخدم كأداة استغلال ليوم الصفر.

كيف تصنف شركات الأمن CVEs؟

هناك اعتبار آخر وهو كيف تقيّم شركات الأمن والتكنولوجيا مكافحة التطرف العنيف.

لا يسحب الباحث الأمني ​​رقمًا من فراغ ويخصصه لثغرة تم اكتشافها حديثًا. يوجد إطار عمل للتسجيل يوجه تقييم نقاط الضعف: نظام تسجيل نقاط الضعف المشترك (CVSS).

مقياس CVSS هو كما يلي:

خطورة النتيجة الأساسية
لا أحد 0
قليل 0.1-3.9
واسطة 4.0-6.9
متوسط 7.0-8.9
حرج 9.0-10.0

لمعرفة قيمة CVSS للثغرة الأمنية ، يقوم الباحثون بتحليل سلسلة من المتغيرات التي تغطي مقاييس النتيجة الأساسية ، ومقاييس النقاط الزمنية ، ومقاييس النتائج البيئية.

  • مقاييس النتيجة الأساسية تغطية أشياء مثل مدى إمكانية استغلال الثغرة الأمنية ، وتعقيد الهجوم ، والامتيازات المطلوبة ، ونطاق الثغرة الأمنية.
  • مقاييس النتيجة الزمنية تغطية جوانب مثل مدى نضج كود برمجية إكسبلويت ، إذا كان هناك علاج لبرمجيات إكسبلويت ، والثقة في الإبلاغ عن الثغرة الأمنية.
  • مقاييس النتائج البيئية تتعامل مع عدة مجالات:
    • مقاييس الاستغلال: تغطية متجه الهجوم وتعقيد الهجوم والامتيازات ومتطلبات تفاعل المستخدم والنطاق.
    • مقاييس التأثير: تغطية الأثر على السرية والنزاهة والتوافر.
    • نتيجة التأثير الفرعي: يضيف تعريفًا إضافيًا لمقاييس التأثير ، يغطي متطلبات السرية ومتطلبات السلامة ومتطلبات التوفر.

الآن ، إذا كان كل هذا يبدو محيرًا بعض الشيء ، ففكر في شيئين. أولاً ، هذا هو التكرار الثالث لمقياس CVSS. بدأت مبدئيًا بالنقاط الأساسية قبل إضافة المقاييس اللاحقة أثناء المراجعات اللاحقة. الإصدار الحالي هو CVSS 3.1.

ثانيًا ، لفهم كيفية تصنيف CVSS للدرجات بشكل أفضل ، يمكنك استخدام قاعدة بيانات الضعف الوطنية CVSS حاسبة لمعرفة كيفية تفاعل مقاييس الضعف.

ليس هناك شك في أن تسجيل نقاط الضعف "بالعين" سيكون صعبًا للغاية ، لذا تساعد الآلة الحاسبة مثل هذه في تقديم نتيجة دقيقة.

البقاء آمنًا على الإنترنت

على الرغم من أن تقرير Kenna Security يوضح أن نسبة صغيرة فقط من نقاط الضعف المبلغ عنها تصبح تهديدًا خطيرًا ، إلا أن فرصة الاستغلال بنسبة 6٪ لا تزال عالية. تخيل لو أن كرسيك المفضل لديه فرصة 6 من 100 للكسر في كل مرة جلست فيها. سوف تستبدله ، أليس كذلك؟

ليس لديك نفس الخيارات مع الإنترنت ؛ لا يمكن الاستغناء عنه. ومع ذلك ، مثل كرسيك المفضل ، يمكنك إصلاحه وتأمينه قبل أن يصبح مشكلة أكبر. هناك خمسة أشياء مهمة يجب فعلها للتعبير عن الأمان عبر الإنترنت وتجنب البرامج الضارة والمآثر الأخرى:

  1. تحديث. حافظ على تحديث نظامك. التحديثات هي الطريقة الأولى التي تحافظ بها الشركات التقنية على أمان جهاز الكمبيوتر الخاص بك ، وتصحيح نقاط الضعف والعيوب الأخرى.
  2. مضاد للفيروسات. قد تقرأ أشياء على الإنترنت مثل "لم تعد بحاجة إلى برنامج مكافحة فيروسات" أو "برنامج مكافحة الفيروسات عديم الفائدة". بالتأكيد، يتطور المهاجمون باستمرار للتهرب من برامج مكافحة الفيروسات ، لكن بدونها ستكون في وضع أسوأ بكثير هم. يعد برنامج مكافحة الفيروسات المدمج في نظام التشغيل الخاص بك نقطة انطلاق رائعة ، ولكن يمكنك زيادة حمايتك باستخدام أداة مثل Malwarebytes.
  3. الروابط. لا تنقر فوقهم إلا إذا كنت تعرف إلى أين يذهبون. أنت تستطيع فحص رابط مشبوه باستخدام أدوات المتصفح المدمجة.
  4. كلمة المرور. اجعله قويًا ، واجعله فريدًا ، ولا تعيد استخدامه أبدًا. ومع ذلك ، فإن تذكر كل كلمات المرور هذه صعب - لن يجادل أحد ضد ذلك. لهذا السبب يجب عليك تحقق من مدير كلمات المرور أداة لمساعدتك على تذكر حساباتك وتأمينها بشكل أفضل.
  5. الغش. هناك الكثير من الحيل على الإنترنت. إذا بدا الأمر جيدًا لدرجة يصعب تصديقها ، ربما يكون كذلك. المجرمون والمحتالون بارعون في إنشاء مواقع ويب خفيفة بأجزاء مصقولة لإخادتك من خلال عملية احتيال دون أن يدركوا ذلك. لا تصدق كل ما تقرأه على الإنترنت.

لا يجب أن يكون البقاء بأمان عبر الإنترنت وظيفة بدوام كامل ، ولا داعي للقلق في كل مرة تقوم فيها بتشغيل جهاز الكمبيوتر الخاص بك. سيؤدي اتخاذ بعض الخطوات الأمنية إلى تعزيز أمانك عبر الإنترنت بشكل كبير.

بريد الالكتروني
ما هو مبدأ الامتياز الأقل وكيف يمكن منع الهجمات الإلكترونية؟

ما مقدار الوصول أكثر من اللازم؟ تعرف على مبدأ أقل امتياز وكيف يمكن أن يساعد في تجنب الهجمات الإلكترونية غير المتوقعة.

مواضيع ذات صلة
  • شرح التكنولوجيا
  • حماية
  • الغش
  • الأمن على الإنترنت
  • مضاد للفيروسات
  • البرمجيات الخبيثة
  • الباب الخلفي
عن المؤلف
جافين فيليبس (تم نشر 742 مقالة)

Gavin هو محرر Junior لـ Windows و Technology Explained ، وهو مساهم منتظم في Really Useful Podcast ، وكان محرر موقع MakeUseOf الشقيق الذي يركز على التشفير ، Blocks Decoded. حصل على بكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات فنية رقمية نُهبت من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة المهنية في الكتابة. يستمتع بكميات وفيرة من الشاي وألعاب الطاولة وكرة القدم.

المزيد من Gavin Phillips

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

خطوة أخرى أيضا…!

يرجى تأكيد عنوان بريدك الإلكتروني في البريد الإلكتروني الذي أرسلناه لك للتو.

.