web-dev-qa-db-ja.com

感染のベクターとして使用される0日間の脆弱性の割合

私はそのタイトルを選びましたが、おそらくこの質問をするいくつかの方法があるでしょう。コンピューター(特にデスクトップですが、サーバーに一般化することもできます)が常に最新(毎日の更新)であり、信頼できないソフトウェアの実行を明示的に許可するほど愚かでない場合に感染する方法を理解することがすべてです。たとえば、メールで疑わしい添付ファイルを開かないようにと誰もが言いますが、なぜそうしないのですか?添付ファイルにコードまたはマクロがある場合、アプリケーションは警告を表示し、それを実行するかどうかを尋ねます(少なくともLibreOfficeが行うことです)。 USBキーをコンピューターに接続した場合、そのキーのソフトウェアは自動的に実行されません(これはLinuxが行うことです。今日Windowsで確認を求めています)。 「ドライブバイダウンロード」についても同じことが言えます。ファイルのダウンロードやプラグインのインストールなどを受け入れない場合、Webサイトを閲覧するだけで何が起こりますか?

なし...

添付ファイルを除き、USBキー、Webサイトなどは、ゼロデイ脆弱性を悪用します。そうすれば、あなたの同意なしにすべてが起こり得、理論的にはすべてが可能です。しかし、これはどれほど一般的ですか?タイトルの質問に戻ります:日間の脆弱性による感染の割合は何ですか?私の印象はもちろん間違っているかもしれませんが、それは非常に小さな割合で、ほぼゼロです、およびすべての感染の原因はソフトウェアを定期的に更新していないためです。「ok」をクリックして、実行する理由がないもの(document.doc.exeなど)を実行する許可を与えます。次のコマンドを実行しますか?プログラム?もちろん!クリック)、非公式のWebサイトからソフトウェアやプラグインのアップデートをダウンロードすることを受け入れる人など。

それで私が考えるのは意味のある脆弱性の唯一のクラスであると思われるので、私は0日について尋ねています。ソフトウェアを更新しない場合、「ウェブサイトを閲覧するだけで感染した」とは言えませんが、「ブラウザ/ OS /その他を更新し忘れただけで感染した」と言うべきです。私の推論では、基本的に3つのクラスの脆弱性(古いソフトウェア、信頼されていないソフトウェアを実行する明示的な同意、0日間の脆弱性)を思いつきました。最初の2つのクラスは簡単に無力化できるので、 3番目の可能性。もちろん、私の推論がすべて間違っていない限り。

zero-dayinfection-vector
3
reed

これは有効な質問です。正確に回答するためのデータが見つかりません。 Verizon DBIRは、使用されたゼロデイ脆弱性を特定していないようであり、私が行った調査については知りません。とはいえ、可能性は小さいと思います。

あなたは非常に狭い範囲のものを見ていると思いますが、それは主に孤立したホームワークステーションに集中しているように聞こえるためです。はい、それらは基本的に以下によって侵害されます:

  1. 物事を実行するユーザー(ドキュメントマクロ、フラッシュドライブ上のファイル、ダウンロードなど)
  2. 既知の(およびパッチが適用されたが、パッチは展開されていない)脆弱性
  3. 既知の(パッチされていないアップストリームの)脆弱性
  4. 不明な脆弱性(0日)

ホームユーザーの場合、最後のカテゴリはわずかな割合の感染であることに完全に同意します。ただし、0日が「焼き付け」られる(つまり、ベンダーがそれに気づき、1日になる)とパッチの一般的な可用性との間には、重要な遅延時間が存在します。この間、侵害されたユーザーはゼロデイによって侵害されることはありませんが、パッチによってそれを停止することもできません。

しかし、企業では、状況は急速に変化します。まず、ベクターのリストに「横移動」と「盗まれた信任状」を追加する必要があります。第2に、多くはセキュリティを意識せずに社内で作成されたエンタープライズアプリケーションを脅威の状況に追加します。これらは、ダースによって「0日」を持つことがあり、企業を侵害するために一般的に使用されます。最後に、ほとんどの企業は、脆弱性を悪用するマルウェアの出現率と比較して、パッチの展開を非常にゆっくりとしています。マルウェアの作成者は、マルウェアが50%の確率でクラッシュするかどうか気にしないかもしれませんが、悪いパッチが原因でワークステーションの50%がクラッシュし始めるかどうか、企業が気にかけると考える方が良いでしょう。

4
David

ゼロデイによって引き起こされる感染の割合を計算することは意味がなく、パンデミックのような発生の場合、0からかなりの数まで変化する可能性があります。過去に持っていました。 2017年には、公開知識またはベンダーパッチの前に悪用された40のゼロデイ脆弱性を報告しました。

www.zero-day.cz(2017年の統計)

それらの一部は標的型攻撃で使用され、一部は悪意のある攻撃者(CCleaner、NotPetyaランサムウェアの大規模感染など)によって挿入されたバックドアとして検出されました。信頼できない/不明なソースから送信されたファイルを開かないようにユーザーに助言することは、ランダムな攻撃に対する良いアドバイスです、bcsユーザーの大多数はワークステーションを強化していない、Officeソフトウェアでマクロを無効にしていないなど、標的型攻撃に対しては役に立たないbcsあなたは信頼できる人からそのファイルを受け取るかもしれません=)

つまり、現実の攻撃におけるゼロデイの割合はゼロであり、気にしないでください。

1
Valery Marchuk