CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

0-dagssårbarheder er det rene guf for hackere: Så hurtigt slår hackerne til

200 forskellige 0-dagssårbarheder er blevet undersøgt i en ny rapport. Se her, hvor hurtige de it-kriminelle er til at angribe, når en 0-dagssårbarhed er afsløret.

17. marts 2017 kl. 15.30
Kim Stensdal Kim Stensdal Teknologiredaktør

Omkring 22 dage.

Så lang tid tager det typisk, fra en 0-dagssårbarhed er blevet afsløret, til der eksisterer fuldt funktionel kode, der kan udnytte sårbarheden - et såkaldt exploit.

Det skriver analysevirksomheden RAND i en ny rapport, hvor 200 0-dagssårbarheder er blevet undersøgt.  

0-dagssårbarheder er en af de ting, både brugere og leverandører frygter mest.

Da leverandøren kun lige har fået kendskab til sårbarheden, deraf navnet, eksisterer der endnu ingen patch, der kan lukke hullet.

0-dagssårbarheden er derfor det rene guf for de it-kriminelle, der kan se deres snit til at forsøge at udnytte hullet i softwarens sikkerhed.

"It-kriminelle benytter 0-dagssårbarheder til at gå efter organisationer og mål, der normalt er opdaterede med patches; dem, der ikke ikke er flittige med at opdatere, kan angribes via sårbarheder, som der eksisterer opdateringer til, men hvor de endnu ikke er rullet ud," skriver RAND.

Læs også: Se top 10-listen: Disse programmer på din computer har flest sårbarheder

Det interessante ved 0-dagssårbarheder er dog, at de i princippet kan eksistere ganske længe, før det bliver offentligt kendt, at sårbarhederne findes.

Sårbarheder lever længe uden at være afsløret

Ifølge rapporten fra RAND har 0-dagssårbarheder en gennemsnitlig levetid på knap syv år - hvilket er tiden fra, at nogen opdager sårbarheden til, at det afsløres offentligt, at sårbarheden eksisterer.

Samtidig er det værd at bemærke, at der ifølge RAND's analyse er en relativ lav sandsynlighed for, at to personer uafhængigt af hinanden opdager den samme sårbarhed - den ligger nemlig på blot 5,7 procent.

Det betyder ifølge analytikerne, at man faktisk ikke opnår de store sikkerhedsmæssige gevinster ved at afsløre, at man har kendskab til en 0-dagssårbarhed.

Derfor kan det også for både dem, der vil forsvare systemerne, og dem, der vil angribe dem, give gode mening at holde kortene tæt til kroppen, hvad angår 0-dagssårbarheder.

Mens den gennemsnitlige levetid for en 0-dagssårbarhed altså er på knap syv år, så skriver RAND, at 25 procent af de 200 undersøgte sårbarheder ikke nåede at eksistere i mere end halvandet år.

Og 25 procent af dem har eksisteret i mere end ni og et halv år.

Af de 200 0-dagssårbarheder, RAND har undersøgt, er 40 procent af dem 0-dagssårbarheder, der endnu ikke er afsløret over for offentligheden.

Læs også:

Se top 10-listen: Disse programmer på din computer har flest sårbarheder

Pas på denne type "uskyldige" vedhæftede filer: Narrer dit antivirusprogram - og sender din maskine i malware-fælden




IT-JOB
Navnenyt fra it-danmarkVis alle »
Preben Ebert Thomsen
Preben Ebert Thomsen
Dan Nielsen
Dan Nielsen
Dorthe Kerschus
Dorthe Kerschus
Marcel Mortensen
Marcel Mortensen

Søren Nedergaard
Søren Nedergaard
Andreas Hoffmann
Andreas Hoffmann
Berith Skov
Berith Skov
Julie Svinth
Julie Svinth


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
Compliance Day 2024: Faret vild i regulativer og direktiver? Få overblik over dem alle

Få et overblik over, hvordan du holder din virksomhed og organisation compliant uden at overimplementere og dermed undgår at bruge unødige ressourcer. Du får desuden indsigt i en række digitale værktøjer, som kan give dig ro i maven og hjælpe dig i dit arbejde med at holde virksomheden compliant på alle punkter.

30. oktober 2024 | Læs mere

Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere

Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Thomas Madsen
Thomas Madsen
Jonathan Løw
Jonathan Løw
Alistair Neil
Alistair Neil
Mogens Nørgaard
Mogens Nørgaard
Jeanette Carlsson
Jeanette Carlsson
Jan Simonsen
Jan Simonsen
Laura Klitgaard
Laura Klitgaard
Mogens Nørgaard
Mogens Nørgaard
opinion
Thomas Madsen
Thomas Madsen
Det rigtige kan godt gøre lidt ondt, men hvis man er for langsom, kan det gøre rigtig nas
Læs indlæg
Artikel teaser billede

Jonathan Løw

"Model collapse" er en slags digital indavl: Bliver AI dummere og dummere?

Artikel teaser billede

Alistair Neil

Derfor er dine underleverandører afgørende for cybersikkerheden

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Ingen, og jeg gentager, ingen, skal tvinge disse mennesker til at lave noget

Artikel teaser billede

Jeanette Carlsson

Nyt innovationscenter for digitale sundhedsløsninger: Får de danske techiværksættere endelig det boost, de mangler?

Mest læste klummer og blogs
"Model collapse" er en slags digital indavl: Bliver AI dummere og dummere?
Klumme: Vi ved, at I udvikler sig vanvittigt hurtigt i denne tid, men er der en bagside af medaljen? Er vi på vej imod et såkaldt ’model collapse’ – altså en situation, hvor AI-systemer langsomt bliver dummere og dummere, fordi de trænes på data, der er skabt af andre AI-systemer?
Af: Jonathan Løw
Det rigtige kan godt gøre lidt ondt, men hvis man er for langsom, kan det gøre rigtig nas
Klumme: Hele ERP-kategorien er på vej i skyen. Udrulning og implementering bliver forandret, og har man sin forretning lige her, er der ændringer på vej. Her og nu kan det gøre ondt, men hvis man venter for længe kan det blive livstruende. 
Af: Thomas Madsen
Derfor er dine underleverandører afgørende for cybersikkerheden
Klumme: Risikostyring handler ikke kun om at gennemgå direkte partnere, men også om at forstå, hvordan partnere længere nede i kæden påvirker sikkerheden.
Af: Alistair Neil
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Ingen, og jeg gentager, ingen, skal tvinge disse mennesker til at lave noget
opinion Jan Simonsen
Mental sundhed i it-branchen: Er AI løsningen på dårlig trivsel?
Læs indlæg

Premium
Teaser billede
Kyndryls danske afdeling skuffer: Omsætningen dykker med flere hundrede millioner kroner, og selskabet taber penge
Læs mere »
Frisør, pizzeria og skønhedsklinik får sagsanlæg fra fintech-kæmpe: Vil skifte til konkurrenten
Microsoft har mistet er række af sine kunders logfiler: Kan få store konsekvenser
Danske it-ansatte vil have mere tryghed: Søger mod store danske virksomheder efter tech-fyringer
Se alle »
Computerworld
Teaser billede
Populært ur-mærke ramt af omfattende ransomware-angreb: Ser ingen mulighed for genopretning
Læs mere »
Nørgaard: Ingen, og jeg gentager, ingen, skal tvinge disse mennesker til at lave noget
Prøvekørt: Spritny elektrisk Renault 5 er som de første GTI´ere - fordi en elbil kan godt være sjov
Apples AI er klar til lancering: Her er det, du kan se frem til i din iPhone – og i dine Airpods
Se alle »
CIO
Teaser billede
It-sikkerhedschef for Danmarks rigeste mand mener ikke compliance er svaret på dagens udfordringer: Du bør tænke som en hacker
Læs mere »
Hos DSV er Thomas Zakarias ikke en del af it-afdelingen og flere vil følge i fodsporene spår CISO'en
Kæmpe konsulenthus investerede 10 milliarder i at bygge sin egen AI-platform – nu bruges den af 96 procent af de ansatte
CDO Kristian Hjort-Madsen skal bygge landings-banen for Telias integration i Norlys: "Man er tvunget til at træffe nogle upopulære valg"
Se alle »
Job & Karriere
Teaser billede
Pludselig exit fra Schultz kom som en overraskelse for Merete Søby: Derfor stoppede samarbejdet
Læs mere »
Merete Søby fratræder med omgående virkning som CEO for Schultz efter blot tre måneder på posten
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
Kom tæt på Danmarks nye digitaliserings-minister: 33-årige Caroline Stage Olsen er tidligere tobaks-lobbyist - har været aktiv i politik siden hun var helt ung
Se alle »
White paper
Teaser billede
Vær proaktiv og prioritér IT-sikkerheden – før det er for sent
Læs mere »
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Cyberstatus 2024: Her er truslerne – og her forbereder virksomhederne sig
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »