Jan KubešPočet ohlášených zranitelností se za poslední roky výrazně zvýšil. Podle CVE Details bylo loni nahlášeno více než 14 600 zranitelností, v roce 2016 jich přitom bylo hlášeno jen 6 447.
K těmto číslům je důležité podotknout, že jsou ve skutečnosti ještě vyšší, záznamy totiž neobsahují tzv. zranitelnosti nultého dne.
Když se podíváte na tyto záznamy, stojí za to podotknout, že v roce 2017 bylo hlášeno průměrně čtyřicet zranitelností denně, přitom v roce 2016 to bylo pouze sedmnáct zranitelností denně.
Roste také počet zranitelností s vysokou a kritickou závažností
Vážnost zranitelností je určována na základě různých faktorů, například jejich vliv na důvěrnost, integritu nebo dostupnost dat. Také je zohledněna komplexnost útoku, požadovaná privilegia nebo jakákoli interakce s uživatelem. K vypracování je potřeba systém pro vypočítání negativních účinků.
Systém hodnocení zranitelností CVSS (The Common Vulnerability Score System) byl navržen k poskytování otevřené standardizované metody posuzování vlivu zranitelností a využívá se k vyčíslení vážnosti jednotlivých zranitelností. V tuto chvíli se využívají dvě verze tohoto systému (CVSS v2.0 a CVSS v3.0).
V roce 2017 bylo v průměru nahlášeno 40 zranitelností denně
V obou případech systém hodnocení obsahuje tři skupiny metrik použitých pro výpočet skóre. První skupina, nazvaná základní skupina, představuje vnitřní vlastnosti této zranitelnosti.
Druhá skupina, známá také jako dočasná skupina, odráží charakteristiky, které se během času mění. Třetí, skupina měřítek životního prostředí, bere v úvahu charakteristiky zranitelností, které jsou jedinečné pro kontext uživatele provádějícího hodnocení.
Přiřazením hodnot k základním metrikám vznikne skóre mezi 0 a 10, což reprezentuje vážnost zranitelností. V CVSS v2.0 jsou zranitelnosti rozděleny do tří kategorií: nízké 0 – 3,9; střední 4 – 6,9; vysoké 7 – 10. V CVSS v3.0 je kategorií pět: žádné 0; nízké 0,1 – 3,9; střední 4 – 6,9; vysoké 7 – 8,9; kritické 9 – 10.
Stojí za to zmínit, že v roce 2017 se podle databáze NVD (National Vulnerability Database) zvýšil počet zranitelností hodnocených jako vysoké (podle CVSS v2.0) a kritické (podle CVSS v3.0).
Zranitelnosti považované za kritické významně narostly za posledních pět let, od roku 2016 se téměř zdvojnásobily.
U zranitelností považovaných v hodnocení CVSS v2.0 za vysoké si můžete také všimnout nárůstu o více než 60 %, z 2 470 v roce 2016 na 4 148 ke konci roku 2017.
Na grafu výše můžete vidět velký nárůst počtu zranitelností nahlášených v předchozích měsících. S vědomím, že došlo k velkému nárůstu zranitelností označených jako vysoké a kritické, je příznačné označit rok 2017 jako rok zranitelností.
Zajímá vás, jaké největší internetové hrozby se objevily v České republice za loňský rok? Pokud ano, určitě si přečtěte článek Co nás nejvíce ohrožovalo v roce 2017.
Tereza Malkusová
Lucie Mudráková
