Vulnerabilitățile au atins un maxim istoric în 2017


Vulnerabilitățile sunt unul dintre elementele identificate frecvent în incidentele de securitate și, împreună cu alte amenințări, precum exploatările și programele malware, constituie un risc latent. În 2017, numărul de vulnerabilități raportate a atins un vârf istoric, depășind cu mult înregistrările stabilite în anii precedenți. De asemenea, numărul de vulnerabilități  identificate ca fiind critice a atins un maxim în anul care tocmai s-a încheiat.

Numărul de vulnerabilități raportate a crescut în ultimul an

Potrivit datelor de la CVE Details, peste 20.000 de vulnerabilități au fost raportate în 2017, în comparație cu 6.447 în 2016. Totalul s-a dublat din 2016 până acum, înregistrând o creștere de 120% față de anul precedent.

Este important să subliniem faptul că această creștere ar putea fi chiar mai ridicată, deoarece aceste înregistrări nu includ vulnerabilitățile "zero day", care sunt folosite "in the wild", fără ca producătorii sau utilizatorii sa știe. Este de remarcat, de asemenea, că în 2017 s-au înregistrat în medie 40 de vulnerabilități pe zi, față de 17 vulnerabilități înregistrate pe zi în 2016.

De asemenea, numărul de vulnerabilități severe și critice crește și el

Gravitatea vulnerabilităților se determină pe baza diverșilor factori, cum ar fi impactul acestora asupra confidențialității, integrității sau disponibilității datelor, precum și vectorul de atac utilizat, complexitatea atacului, privilegiile necesare sau interacțiunea cu utilizatorul. Elaborarea acestui lucru necesită un sistem de calcul al efectelor negative.

Sistemul comun de scoruri de vulnerabilitate (CVSS) este un sistem de notare conceput să ofere o metodă deschisă, standardizată pentru evaluarea impactului vulnerabilităților și, prin urmare, este folosită pentru a-și cuantifica severitatea. În prezent, se folosesc două versiuni ale acestui sistem: CVSS v2.0 și CVSS v3.0.

40 vulnerabilități raportate în medie, zilnic, în 2017

În ambele cazuri, sistemul de notare include trei grupuri de valori utilizate pentru a calcula scorul. Primul grup, numit grup de bază, reprezintă calitățile intrinseci ale vulnerabilității, cu alte cuvinte, cele care îi sunt inerente.

Al doilea grup, cunoscut sub denumirea de grup temporal, reflectă caracteristicile care se schimbă în timp. Și în cele din urma, este grupul de valori de mediu care ia în considerare caracteristicile de mediu ale unei vulnerabilități care sunt unice pentru contextul utilizatorului care efectuează evaluarea.

După atribuirea cifrelor la valorile de referință, formula are ca rezultat un scor între 0,0 și 10,0, ceea ce reprezintă severitatea vulnerabilității în cauză. În CVSS v2.0, există trei categorii: scăzut când scorul este între 0,0 și 3,9; mediu dacă este între 4.0 și 6.9; și mare când rezultatul scade între 7,0 și 10,0.

Pentru CVSS v3.0, există cinci categorii: None (0.0), Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9) și Critical (9.0-10.0).

Este important de subliniat faptul că, în 2017, creșterea vulnerabilităților considerate ridicate în standardul CVSS v2.0 și critice în standardul CVSS v3.0 au crescut de asemenea considerabil, conform datelor furnizate de NVD (National Vulnerability Database - NVD).

Vulnerabilitățile considerate esențiale în CVSS v3.0 au crescut de asemenea în mod semnificativ în ultimii 5 ani, crescând de la 0 (zero) înregistrate în 2013 la 2.070 până la sfârșitul anului trecut, practic dublând valoarea înregistrată în 2016.

În ceea ce privește vulnerabilitățile considerate a fi ridicate în CVSS v2.0, nivelul de creștere a fost de asemenea considerabil, crescând de la 2.470 în 2016 la peste 4.100 până la sfârșitul anului 2017. Aceasta reprezintă o creștere de peste 60%.

În datele prezentate mai sus, se poate observa o creștere semnificativă a numărului de vulnerabilități raportate în ultimele luni, precum și o creștere suplimentară a numărului de vulnerabilități considerate ca fiind ridicate și critice. În ansamblu, putem declara anul 2017 anul vulnerabilităților ... până acum!

 

Walif Issa February 8, 2018

Lasa un comentariu