เครือข่ายของคุณถูกแฮ็ก: ทำความคุ้นเคยกับมัน

ในวันอังคารที่สองของทุกเดือน "Patch Tuesday" Microsoft จะออก patch สำหรับจุดบกพร่องและช่องโหว่ด้านความปลอดภัยใน Windows และในโปรแกรม Microsoft ส่วนใหญ่แล้วปัญหาที่ได้รับการแก้ไข ได้แก่ ช่องโหว่ด้านความปลอดภัยร้ายแรงข้อผิดพลาดในการเขียนโปรแกรมที่อาจทำให้แฮกเกอร์เจาะระบบรักษาความปลอดภัยเครือข่ายขโมยข้อมูลหรือเรียกใช้รหัสโดยอำเภอใจ Adobe, Oracle และผู้จำหน่ายอื่น ๆ มีกำหนดการแก้ไขของตนเอง การศึกษาใหม่ที่น่าตกใจโดย NSS Labs ชี้ให้เห็นว่าโดยเฉลี่ยแฮ็กเกอร์มีช่องโหว่ด้านความปลอดภัยประมาณห้าเดือนในการค้นพบครั้งแรกและการแก้ไข ที่เลวร้ายยิ่งตลาดเฉพาะที่มีอยู่เพื่อขายช่องโหว่ที่ค้นพบใหม่

Dr. Stefan Frei ผู้อำนวยการฝ่ายวิจัยของ NSS Labs ดูแลการศึกษาที่เก็บข้อมูลมากกว่าสิบปีจาก "โปรแกรมซื้อช่องโหว่" ที่สำคัญสองโครงการ รายงานของ Frei ชี้ให้เห็นว่าตัวเลขทั้งหมดที่เกิดขึ้นเป็นตัวเลขขั้นต่ำ เห็นได้ชัดว่ามีอะไรอีกมากมายที่พวกเขาไม่รู้ จากข้อมูลที่พวกเขารู้ตลาดเกี่ยวกับการหาประโยชน์ได้เพิ่มขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา สิบปีที่แล้วทั้งสอง บริษัท ศึกษามีเพียงไม่กี่ช่องโหว่ที่ไม่เปิดเผยในวันใดวันหนึ่ง ในช่วงไม่กี่ปีที่ผ่านมาจำนวนดังกล่าวเพิ่มขึ้นเป็นมากกว่า 150 รายและมากกว่า 50 รายการที่เกี่ยวข้องกับผู้ค้ารายใหญ่ห้าราย ได้แก่ Microsoft, Apple, Oracle, Sun และ Adobe

หาประโยชน์จากการขายราคาถูก

Stuxnet และการโจมตีอื่น ๆ ในระดับรัฐนั้นพึ่งพาช่องโหว่ด้านความปลอดภัยที่ไม่เปิดเผยหลายช่องโหว่เพื่อเจาะระบบความปลอดภัย สันนิษฐานว่าผู้สร้างของพวกเขาจ่ายเงินปันผลมหาศาลเพื่อรับสิทธิพิเศษในการเข้าถึงช่องโหว่เหล่านี้ NSA ตั้งงบประมาณไว้ที่ 25 ล้านดอลลาร์เพื่อหาช่องทางซื้อในปี 2013 ผลการศึกษาของ Frei เปิดเผยว่าตอนนี้ราคาถูกลงมาก ยังคงสูง แต่อยู่ไม่ไกลจากองค์กรอาชญากรรมไซเบอร์

Frei เสนอราคาบทความของ New York Times ที่ตรวจสอบผู้ให้บริการช่องโหว่สี่ราย ราคาเฉลี่ยของพวกเขาสำหรับความรู้เกี่ยวกับช่องโหว่ที่ยังไม่เปิดเผยอยู่ระหว่าง $ 40, 000 ถึง $ 160, 000 จากข้อมูลที่ได้รับจากผู้ให้บริการเหล่านั้นเขาสรุปว่าพวกเขาสามารถส่งมอบการหาประโยชน์พิเศษอย่างน้อย 100 ครั้งต่อปี

ผู้ขายต่อสู้กลับ

ผู้จำหน่ายซอฟต์แวร์บางรายเสนอข้อผิดพลาดในการสร้างข้อผิดพลาดสร้างโปรแกรมวิจัยแบบรวมกลุ่ม นักวิจัยที่ค้นพบช่องโหว่ด้านความปลอดภัยที่ไม่รู้จักก่อนหน้านี้สามารถรับรางวัลที่ถูกต้องได้โดยตรงจากผู้ขาย แน่นอนว่าปลอดภัยกว่าการติดต่อกับไซเบอร์คดหรือผู้ที่ขายให้ไซเบอร์คด

รางวัลบั๊กทั่วไปมีตั้งแต่หลายร้อยถึงหลายพันดอลลาร์ ไมโครซอฟท์ "Mitigation Bypass Bounty" จ่ายเงิน 100, 000 ดอลลาร์ แต่มันไม่ใช่เรื่องง่าย นักวิจัยจะต้องค้นพบ "เทคนิคการหาประโยชน์จากนวนิยายอย่างแท้จริง" ที่สามารถทำลาย Windows เวอร์ชันล่าสุดได้

คุณถูกแฮ็กแล้ว

ข้อผิดพลาดในการรับรางวัลเป็นสิ่งที่ดี แต่จะมีผู้ที่ได้รับรางวัลใหญ่จากผู้ให้บริการการใช้ประโยชน์บูติกและอาชญากรไซเบอร์ รายงานสรุปว่าองค์กรหรือองค์กรขนาดใหญ่ควรถือว่าเครือข่ายถูกแฮ็คแล้ว การบล็อกหรือตรวจจับการโจมตีแบบ zero-day นั้นยากมากดังนั้นทีมรักษาความปลอดภัยควรวางแผนให้แย่ที่สุดด้วยแผนการตอบสนองเหตุการณ์ที่กำหนดไว้อย่างดี

แล้วธุรกิจขนาดเล็กและเครือข่ายส่วนตัวล่ะ รายงานไม่ได้พูดถึงพวกเขา แต่ฉันจะสมมติว่าคนที่จ่ายเงิน 40, 000 ดอลลาร์หรือมากกว่านั้นเพื่อเข้าใช้ประโยชน์นั้นจะมุ่งไปที่เป้าหมายที่ใหญ่ที่สุดเท่าที่จะเป็นไปได้

คุณสามารถอ่านรายงานฉบับเต็มได้ที่เว็บไซต์ของ NSS Labs