Artikel top billede

Microsoft: 0-dags sårbarheder er stærkt overvurderede

Du bør først og fremmest bekymre dig om de trusler, der er mest udbredte og alvorlige, mener software-giganten. Se hvilke angrebstyper, du skal passe mest på.

Computerworld News Service: Udnyttelsen af ikke-rettede sårbarheder står for omkring en tiendedel af en procent af alle angreb, så lad være med at gå i panik.

Det er Microsofts råd ved nyheden om de seneste 0-dagssårbarheder, som er fejl, der kan udnyttes af hackere, indtil en eller anden software-udvikler formår at løse problemet.

"Vi siger ikke, at man ikke skal bekymre sig om 0-dagssårbarheder. Men de skal lige sættes i kontekst," siger Jeff jones, der er chef for sikkerheden hos Microsofts Trustworthy Computing-gruppe.

"De mennesker, der arbejder med sikkerhed hver dag, skal først og fremmest bekymre sig om de ting, der er mest udbredte og alvorlige."

Jeff Jones, der er bevæbnet med data fra Microsofts security team, argumenterer for, at 0-dagssårbarheder ikke er blandt de mest udbredte og derfor heller ikke de alvorligste trusler, der truer brugerne.

Ifølge Microsofts seneste Security Intelligence Report (SIR), som udkom i denne uge, stod udnyttelsen af 0-dagssårbarheder for bare 0,12 procent af alle exploits i første halvdel af 2011.

Men det passer ikke sammen med den massive omtale, som de ikke-rettede fejl får i medierne, siger Microsoft.

"0-dagssårbarhederne virker særligt farlige på forbrugerne og it-folkene, [fordi] det kombinerer frygten for det ukendte med manglende evner til at løse problemet," står der i rapporten fra Microsoft. "[Så] det kommer ikke som nogen overraskelse, at 0-dagssårbarhederne får en del omtale i pressen, når de opstår."

Microsoft vil gerne have sat tingene i proportioner, siger Jeff Jones, og derfor handler den seneste SIR-rapport om 0-dagssårbarheder.

"Det skaber panik, når der ikke er ordentlige informationer," siger Jeff Jones.

"Jeg tænker ikke på dem, der arbejder professionelt med sikkerhed - jeg skal ikke påstå at vide, hvordan de gør deres arbejde bedst - men jeg tænker på deres chefer eller andre dele af ledelsen, som læser et eller andet og siger, 'Hey, hvad gør vi egentlig ved det her?'"

Microsofts råd: Lad være med at gå i panik.

"Vi vil gerne tilbyde data, der kan fjerne fokus fra panik-overskrifter og give plads til prioriteringer af risici i stedet," siger Jeff Jones.

Her skal du være på vagt

0-dagssårbarheder gør mere, end de bider, siger Andrew Storms, der er director of security operations hos nCircle Security.

"Jeg tror på, at der værdi i det, Microsoft siger," fortæller han.

"Jeg har altid været i den lejr, der mener, at for hovedparten af alle de milliarder af mennesker, der er på nettet, udgør 0-dagssårbarheder ikke nogen reel trussel."

Det, Microsoft og Andrew Storms til gengæld er enige om rent faktisk udgør en trussel, er de angreb, der snyder brugerne til at gøre et eller andet farligt - det, der er kendt som 'social engineering' - som for eksempel til at downloade en ondsindet fil.

Ved hjælp af et komplekst pointsystem, der redegør for alle de forskellige angrebsstrategier som malware bruger nu, og data fra en anden kilde - trusler fjernet fra pc'er med Microsofts gratis værktøj Malicious Software Removal Tool (MSRT) - konkluderer virksomheden, at 45 procent af al malware bliver spredt ved hjælp af brugerne.

"Exploits, der udnytter social engineering og som kræver brugernes medvirken, er, ifølge data fra MSRT, både den mest udbredte og alvorlige trussel," siger Jeff Jones.

"Jeg er overhovedet ikke uenig med dem," siger Andrew Storms, der ikke desto mindre skyder mod Microsoft for ikke at gøre som deres egne data prædiker.

"Hvis det er tilfældet, så skulle Microsoft tilbyde højere prioriteringer i virksomhedens sikkerhedsklassifikationer," siger Andrew Storms.

Prioriter rigtigt

Han hentyder til Microsofts fire sikkerhedskategorier, som virksomheden bruger til inddeling af sikkerhedsopdateringer, og det faktum, at sårbarheder, der kræver brugerinteraktion for at kompromittere computeren, som regel kun får betegnelsen "vigtig", som er den anden højeste vurdering.

"De siger som udgangspunkt, at den slags exploits er mindre vigtige, eftersom brugerinteraktion er påkrævet," siger Andrew Storms.

"Og det er jo helt påfaldende, når man ser på de her data."

Ud af de fem sikkerhedsopdateringer, som Microsoft udsendte i sidste måned, fik alle de tre sårbarheder, hvor Microsoft fortalte, at de kunne "tillade fjernkode-udnyttelse," betegnelsen "vigtige" og ikke "kritiske", trods det at virksomheden regner med, at der vil dukke angrebskode op til sårbarhederne inden for 30 dage.

Ifølge Microsofts definition bliver betegnelsen kritisk givet til "sårbarheder, som i tilfælde af udnyttelse muliggør spredning af en internet-orm uden brugerens medvirken."

Microsofts råd til kunder i lyset af de nye oplysninger er ikke overraskende: Jeff Jones råder kunderne til at holde software opdateret med de nyeste sikkerhedsrettelser og til at bruge ny frem for gammel software.

"Gør det grundlæggende," råder Jeff Jones.

"Om noget, så bør [informationerne] få folk til at holde op med at gå i panik over zero days og til at prioritere ordentligt i stedet.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere