Artikel top billede

Microsoft: 0-dags sårbarheder er stærkt overvurderede

Du bør først og fremmest bekymre dig om de trusler, der er mest udbredte og alvorlige, mener software-giganten. Se hvilke angrebstyper, du skal passe mest på.

Computerworld News Service: Udnyttelsen af ikke-rettede sårbarheder står for omkring en tiendedel af en procent af alle angreb, så lad være med at gå i panik.

Det er Microsofts råd ved nyheden om de seneste 0-dagssårbarheder, som er fejl, der kan udnyttes af hackere, indtil en eller anden software-udvikler formår at løse problemet.

"Vi siger ikke, at man ikke skal bekymre sig om 0-dagssårbarheder. Men de skal lige sættes i kontekst," siger Jeff jones, der er chef for sikkerheden hos Microsofts Trustworthy Computing-gruppe.

"De mennesker, der arbejder med sikkerhed hver dag, skal først og fremmest bekymre sig om de ting, der er mest udbredte og alvorlige."

Jeff Jones, der er bevæbnet med data fra Microsofts security team, argumenterer for, at 0-dagssårbarheder ikke er blandt de mest udbredte og derfor heller ikke de alvorligste trusler, der truer brugerne.

Ifølge Microsofts seneste Security Intelligence Report (SIR), som udkom i denne uge, stod udnyttelsen af 0-dagssårbarheder for bare 0,12 procent af alle exploits i første halvdel af 2011.

Men det passer ikke sammen med den massive omtale, som de ikke-rettede fejl får i medierne, siger Microsoft.

"0-dagssårbarhederne virker særligt farlige på forbrugerne og it-folkene, [fordi] det kombinerer frygten for det ukendte med manglende evner til at løse problemet," står der i rapporten fra Microsoft. "[Så] det kommer ikke som nogen overraskelse, at 0-dagssårbarhederne får en del omtale i pressen, når de opstår."

Microsoft vil gerne have sat tingene i proportioner, siger Jeff Jones, og derfor handler den seneste SIR-rapport om 0-dagssårbarheder.

"Det skaber panik, når der ikke er ordentlige informationer," siger Jeff Jones.

"Jeg tænker ikke på dem, der arbejder professionelt med sikkerhed - jeg skal ikke påstå at vide, hvordan de gør deres arbejde bedst - men jeg tænker på deres chefer eller andre dele af ledelsen, som læser et eller andet og siger, 'Hey, hvad gør vi egentlig ved det her?'"

Microsofts råd: Lad være med at gå i panik.

"Vi vil gerne tilbyde data, der kan fjerne fokus fra panik-overskrifter og give plads til prioriteringer af risici i stedet," siger Jeff Jones.

Her skal du være på vagt

0-dagssårbarheder gør mere, end de bider, siger Andrew Storms, der er director of security operations hos nCircle Security.

"Jeg tror på, at der værdi i det, Microsoft siger," fortæller han.

"Jeg har altid været i den lejr, der mener, at for hovedparten af alle de milliarder af mennesker, der er på nettet, udgør 0-dagssårbarheder ikke nogen reel trussel."

Det, Microsoft og Andrew Storms til gengæld er enige om rent faktisk udgør en trussel, er de angreb, der snyder brugerne til at gøre et eller andet farligt - det, der er kendt som 'social engineering' - som for eksempel til at downloade en ondsindet fil.

Ved hjælp af et komplekst pointsystem, der redegør for alle de forskellige angrebsstrategier som malware bruger nu, og data fra en anden kilde - trusler fjernet fra pc'er med Microsofts gratis værktøj Malicious Software Removal Tool (MSRT) - konkluderer virksomheden, at 45 procent af al malware bliver spredt ved hjælp af brugerne.

"Exploits, der udnytter social engineering og som kræver brugernes medvirken, er, ifølge data fra MSRT, både den mest udbredte og alvorlige trussel," siger Jeff Jones.

"Jeg er overhovedet ikke uenig med dem," siger Andrew Storms, der ikke desto mindre skyder mod Microsoft for ikke at gøre som deres egne data prædiker.

"Hvis det er tilfældet, så skulle Microsoft tilbyde højere prioriteringer i virksomhedens sikkerhedsklassifikationer," siger Andrew Storms.

Prioriter rigtigt

Han hentyder til Microsofts fire sikkerhedskategorier, som virksomheden bruger til inddeling af sikkerhedsopdateringer, og det faktum, at sårbarheder, der kræver brugerinteraktion for at kompromittere computeren, som regel kun får betegnelsen "vigtig", som er den anden højeste vurdering.

"De siger som udgangspunkt, at den slags exploits er mindre vigtige, eftersom brugerinteraktion er påkrævet," siger Andrew Storms.

"Og det er jo helt påfaldende, når man ser på de her data."

Ud af de fem sikkerhedsopdateringer, som Microsoft udsendte i sidste måned, fik alle de tre sårbarheder, hvor Microsoft fortalte, at de kunne "tillade fjernkode-udnyttelse," betegnelsen "vigtige" og ikke "kritiske", trods det at virksomheden regner med, at der vil dukke angrebskode op til sårbarhederne inden for 30 dage.

Ifølge Microsofts definition bliver betegnelsen kritisk givet til "sårbarheder, som i tilfælde af udnyttelse muliggør spredning af en internet-orm uden brugerens medvirken."

Microsofts råd til kunder i lyset af de nye oplysninger er ikke overraskende: Jeff Jones råder kunderne til at holde software opdateret med de nyeste sikkerhedsrettelser og til at bruge ny frem for gammel software.

"Gør det grundlæggende," råder Jeff Jones.

"Om noget, så bør [informationerne] få folk til at holde op med at gå i panik over zero days og til at prioritere ordentligt i stedet.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere