Η WhiteSource, κορυφαία εταιρεία διαχείρισης ανοιχτού κώδικα, και η CYR3CON, η οποία προβλέπει επιθέσεις ασφάλειας στον κυβερνοχώρο που βασίζονται σε πληροφορίες που έχουν συγκεντρωθεί μέσω του AI από hacking κοινότητες που συνομιλούν οι hackers, κυκλοφόρησαν σήμερα την κοινή τους ερευνητική έκθεση σχετικά με την ιεράρχηση των ευπαθειών ασφαλείας. Η έρευνα έχει ως σκοπό να συγκρίνει το πόσο διαφορετικά ιεραρχούν τις ευπάθειες, εταιρείες και hackers.
Καθώς η τεχνολογία εξελίσσεται συνεχώς, οι ομάδες ανάπτυξης λογισμικού βομβαρδίζονται με προειδοποιήσεις ασφαλείας με αυξανόμενο ρυθμό. Αυτό κατέστησε σχεδόν αδύνατο να αποκατασταθεί κάθε ευπάθεια, καθιστώντας την ικανότητα της σωστής ιεράρχησης των ευπαθειών ακόμη πιο κρίσιμη.
Αυτή η έρευνα εξετάζει τις πιο συνηθισμένες μεθόδους που χρησιμοποιούν οι ομάδες ανάπτυξης λογισμικού για να δώσουν προτεραιότητα στις ευπάθειες λογισμικού για την αποκατάσταση και συγκρίνει αυτές τις πρακτικές με δεδομένα που συλλέγονται από τις συζητήσεις που πραγματοποιούν οι hackers σε διάφορα forums, συμπεριλαμβανομένου του dark web και του deep web.
Τα βασικά ευρήματα της έκθεση είναι τα παρακάτω:
- Οι ομάδες ανάπτυξης λογισμικού τείνουν να δίνουν προτεραιότητα με βάση τα διαθέσιμα δεδομένα, όπως ο βαθμός σοβαρότητας ευπάθειας (CVSS), η ευκολία αποκατάστασης και η ημερομηνία δημοσίευσης, αλλά οι hackers δεν στοχεύουν τις ευπάθειες βάσει αυτών των παραμέτρων.
- Οι hackers προσελκύονται σε συγκεκριμένους τύπους ευπάθειας (CWE), συμπεριλαμβανομένων των CWE-20, CWE-125, CWE-79 (XSS) και CWE-200.
- Οι οργανισμοί τείνουν να δίνουν προτεραιότητα σε “νέες” ευπάθειες, ενώ οι hackers συζητούν συχνά τις ευπάθειες για πάνω από 6 μήνες μετά την εκμετάλλευση, ενώ ακόμη και οι παλαιότερες ευπάθειες επανεμφανίζονται στις συζητήσεις των hackers καθώς επανεμφανίζονται σε νέα exploits ή malware.
“Καθώς οι ομάδες ανάπτυξης αντιμετωπίζουν έναν ολοένα αυξανόμενο αριθμό ευπαθειών που αποκαλύπτονται, καθίσταται αδύνατο να διορθωθούν τα πάντα και είναι επιτακτική ανάγκη οι ομάδες να επικεντρωθούν στην αντιμετώπιση των πιο επειγόντων ζητημάτων πρώτα”, δήλωσε ο Rami Sass, Διευθύνων Σύμβουλος και συνιδρυτής της WhiteSource. “Η έρευνά μας μπορεί να βοηθήσει τους οργανισμούς να υιοθετήσουν μια σταθερή μέθοδο προτεραιοποίησης και να διασφαλίσουν ότι βλέπουν πέρα από τα πιο προσιτά δεδομένα. Για την ακρίβεια ότι κοιτούν στα δεδομένα που μπορούν να τους βοηθήσουν να διορθώσουν τις ευπάθειες ασφαλείας που θα μπορούσαν να προκαλέσουν τον μεγαλύτερο αντίκτυπο στην εταιρεία.”
“Πολύ συχνά οι εταιρείες δέχονται εν αγνοία τους τον κίνδυνο χρησιμοποιώντας ξεπερασμένες μεθόδους προτεραιοποίησης των ευπαθειών – και αυτή η έκθεση ρίχνει φως στις αδυναμίες αυτών των προσεγγίσεων. Ο συνδυασμός του threat intelligence και της μηχανικής μάθησης ξεπερνά αυτές τις αδυναμίες, επισημαίνοντας προηγουμένως μη αναγνωρισμένους κινδύνους στη διαδικασία”, δήλωσε ο Paulo Shakarian , CYR3CON Διευθύνων Σύμβουλος & Συνιδρυτής. “Το σκορ CyRating μας, το οποίο προέρχεται από τη δική μας επιστημονική έρευνα από ομότιμους κριτές, σχεδιάστηκε για να κλιμακώσει τη διαδικασία ανάλυσης τρωτών σημείων και να ρίξει γρήγορα φως στην οπτική των hacker σχετικά με το τι θα εκμεταλλευτούν.”
