Katalog poznatih iskorištenih ranjivosti - koristan izvor
Ranjivosti se pronalaze i krpaju brzinom bez presedana. Kako su dobavljači pod pritiskom da ubrzaju izdavanje zakrpa, kvaliteta zakrpa je zapravo sve gora. Inicijativa Zero Day (ZDI) ističe da se u cijeloj industriji 10% do 20% ranjivosti ponovno pregledava i ponovno krpa.
Instaliranje zakrpa postaje sve rizičnije u smislu kvarova i zastoja. Dodatno zbunjuje činjenica da dobavljači ne pružaju kvalitetne informacije o riziku Common Vulnerability Scoring System (CVSS), kako bi se što lakše odlučilo je li zakrpa potrebna. Dobavljač bi mogao dati visoku ocjenu CVSS rizika za grešku koja se ne bi lako iskoristila. CVSS je industrijski standard namijenjen pomoći u procjeni ozbiljnosti sigurnosnih ranjivosti računalnog sustava. Budući da 10 označava najtežu ranjivost, što je CVSS dodijeljen zakrpi viši, utoliko bismo brže trebali primijeniti zakrpu. Međutim, nakon procjene olakotnih okolnosti i dodatnih čimbenika rizika, možda ne trebamo biti toliko zabrinuti.
Na primjer, uzmite Microsoftovu ranjivost CVE-2022-34715 objavljenu u kolovozu, kojom se popravlja ranjivost daljinskog izvođenja koda sustava Windows Network File System: njezina CVSS ocjena ocijenjena je kao 9,8, što upućuje na neposrednu zabrinutost. Gledajući pogrešku pobliže, ona utječe samo na Server 2022 i to samo ako je instalirana usluga uloga NFS 4.0.
Ili uzmite rujanski CVE-2022-37969 čiji je rezultat relativno manje hitan, 7,8 – a ipak ga akteri prijetnji aktivno iskorištavaju. Na temelju samog rezultata, bili biste u iskušenju da ne zakrpate odmah. Pa ipak, upravo se ovaj trenutno može koristiti unutar vaše mreže za podizanje privilegija.
Kada odlučujete o zakrpi, dobro je uzeti u obzir je li ranjivost već aktivno iskorištena u praksi. Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) sa sjedištem u SAD-u održava dobar izvor za trenutnu provjeru iskorištavanja CVE-a: katalog poznatih iskorištenih ranjivosti. Obavezno ga provjerite sljedećeg Patch Tuesday-a.
Na primjer, ranjivost CVE-2019-0604 uvrštena je u Katalog s dobrim razlogom, bez obzira na njen CVSS: ovog ljeta su je iskoristili akteri, sponzorirani od iranske države, za prodor u mrežu albanskih vladinih organizacija.
![[Webinar] NIS2, CER, CRA - kako se snaći u šumi novih propisa o kibersigurnosti?](https://static.wixstatic.com/media/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg/v1/fill/w_1220,h_1220,fp_0.50_0.50,q_90,enc_auto/6681e7_73dcd91e1a2b4d428120b92ad9214dce~mv2.jpg)
