Сведения о новых уязвимостях публикуются в самой мрачной части Интернета за несколько дней до предоставления их широкой общественности.

Исследователи обнаружили, что может пройти несколько дней, прежде чем информация об уязвимостях, которой кто-то уже поделился в «темном» Интернете (Dark Web), будет опубликована исследователями и в базе данных National Vulnerability Database (NVD) и станет общедоступной.

7 июня специализирующаяся на кибербезопасности фирма Recorded Future представила результаты исследования, действительно ли сведения об уязвимостях раскрываются в «темном» Интернете (неиндексируемая зона Интернета, доступная только через сеть Tor) до публикации в NVD, и каковы источники таких сведений.

По данным этой фирмы, в среднем существует разрыв в семь дней между публичным раскрытием и официальными уведомлениями, которые рассылаются организациям и занимающимся безопасностью компаниям. И свыше 75% из охваченных исследованием более чем 12,5 тыс. обнаруженных и потенциальных уязвимостей из базы данных Common Vulnerabilities and Exposures (CVE) были обнародованы в Интернете до включения в базу данных.

Источниками названы СМИ, блоги, а также «темный» Интернет, сайты для краткосрочного хранения и распространения фрагментов кода вроде Pastebin и подпольные криминальные форумы.

Recorded Future заявила, что результаты ее исследования «ставят под сомнение надежность официальных каналов раскрытия информации».

«Это расхождение неофициальных и официальных каналов распространения информации о CVE возлагает большую ответственность на директоров по информационной безопасности и их команды, делая их непредумышленно открытыми для потенциальных эксплойтов и неспособными принимать на основе полной информации стратегические решения касательно их стратегии безопасности», — добавила компания.

Данные для исследования, взятые по состоянию на начало 2016 г., показали также, что имеется временной лаг между сообщениями производителей ПО и публикациями в NVD. В лучшем из зарегистрированных случаев он составлял всего один день, в худшем публикация в NVD состоялась на 172 дня позднее.

Более 1,5 тыс. источников сообщали об уязвимостях до официального объявления о них, и 5% уязвимостей, сведения о которых были обнаружены в «темном» Интернете до их обнародования, имели серьезный характер. Кроме того, 30% выявленных в «подпольном» Интернете сообщений об ошибках были не на английском языке.

В случае с уязвимостью Dirty Cow ее экспериментальный экземпляр был размещен на сайте Pastebin за 15 дней до публикации в NVD.

Генеральный директор Recorded Future Кристофер Алберг сказал, что эти результаты едва ли стали сюрпризом. По его словам, существует «давняя уверенность» в разрыве по времени между раскрытием уязвимостей официальными и неофициальными источниками. Теперь это подтверждено исследованиями. Компаниям более чем когда-либо необходимо использовать многоаспектный подход к сбору информации и безопасности.

Recorded Future предлагает, чтобы вместо нажатия тревожной кнопки при обнародовании особо опасной уязвимости компании применяли «проактивный и соразмерный риску» подход, включая оценку риска, использование прикладной разведки на базе многих источников и концентрации внимания на тех уязвимостях и подверженностях риску, которые наиболее вероятно будут использованы. В результате у компаний появится больше шансов избежать грядущей катастрофы в области безопасности, которая маячит на горизонте.

Как мы видели в случае с WannaCry, старые и известные уязвимости все еще могут вызвать такой эффект, что важнейшие сервисы и компании по всему миру погружаются в хаос. Проблема заключается в унаследованных системах. С прекращением их технической поддержки они представляют постоянный риск для безопасности. Но эти же системы являются приоритетными при обеспечении безопасности в смысле определения последствий известных и неизвестных ошибок, которые могут быть использованы во вред организациям и компаниям.

«Эти результаты демонстрируют, что организациям необходимо обращаться не только к официальным каналам распространения сведений об уязвимостях, таким как NVD. Им следует усвоить проактивный взгляд на управление уязвимостями, при котором основное внимание уделяется риску, — сказал главный специалист Recorded Future по данным Билл Лэдд. — Службы безопасности больше не могут осуществлять управление уязвимостями, руководствуясь опубликованными данными».

«Посредством получения, агрегирования и применения доступной информации из множества дополнительных источников, включая „темный“ Интернет, социальные сети, выпуски новостей и форумы, организации придут к лучшему пониманию имеющегося для них риска и смогут принимать основанные на полной информации стратегические решения, положительно отражающиеся на бизнесе», — добавил он.

На этой неделе исследователи выяснили, что аферисты используют Instagram, убеждая людей принять участие в мошеннической схеме, которая стоила банкам по меньшей мере 50 тыс. долл.

Версия для печати