Artikel top billede

Microsoft: 0-dags sårbarheder er stærkt overvurderede

Du bør først og fremmest bekymre dig om de trusler, der er mest udbredte og alvorlige, mener software-giganten. Se hvilke angrebstyper, du skal passe mest på.

Computerworld News Service: Udnyttelsen af ikke-rettede sårbarheder står for omkring en tiendedel af en procent af alle angreb, så lad være med at gå i panik.

Det er Microsofts råd ved nyheden om de seneste 0-dagssårbarheder, som er fejl, der kan udnyttes af hackere, indtil en eller anden software-udvikler formår at løse problemet.

"Vi siger ikke, at man ikke skal bekymre sig om 0-dagssårbarheder. Men de skal lige sættes i kontekst," siger Jeff jones, der er chef for sikkerheden hos Microsofts Trustworthy Computing-gruppe.

"De mennesker, der arbejder med sikkerhed hver dag, skal først og fremmest bekymre sig om de ting, der er mest udbredte og alvorlige."

Jeff Jones, der er bevæbnet med data fra Microsofts security team, argumenterer for, at 0-dagssårbarheder ikke er blandt de mest udbredte og derfor heller ikke de alvorligste trusler, der truer brugerne.

Ifølge Microsofts seneste Security Intelligence Report (SIR), som udkom i denne uge, stod udnyttelsen af 0-dagssårbarheder for bare 0,12 procent af alle exploits i første halvdel af 2011.

Men det passer ikke sammen med den massive omtale, som de ikke-rettede fejl får i medierne, siger Microsoft.

"0-dagssårbarhederne virker særligt farlige på forbrugerne og it-folkene, [fordi] det kombinerer frygten for det ukendte med manglende evner til at løse problemet," står der i rapporten fra Microsoft. "[Så] det kommer ikke som nogen overraskelse, at 0-dagssårbarhederne får en del omtale i pressen, når de opstår."

Microsoft vil gerne have sat tingene i proportioner, siger Jeff Jones, og derfor handler den seneste SIR-rapport om 0-dagssårbarheder.

"Det skaber panik, når der ikke er ordentlige informationer," siger Jeff Jones.

"Jeg tænker ikke på dem, der arbejder professionelt med sikkerhed - jeg skal ikke påstå at vide, hvordan de gør deres arbejde bedst - men jeg tænker på deres chefer eller andre dele af ledelsen, som læser et eller andet og siger, 'Hey, hvad gør vi egentlig ved det her?'"

Microsofts råd: Lad være med at gå i panik.

"Vi vil gerne tilbyde data, der kan fjerne fokus fra panik-overskrifter og give plads til prioriteringer af risici i stedet," siger Jeff Jones.

Her skal du være på vagt

0-dagssårbarheder gør mere, end de bider, siger Andrew Storms, der er director of security operations hos nCircle Security.

"Jeg tror på, at der værdi i det, Microsoft siger," fortæller han.

"Jeg har altid været i den lejr, der mener, at for hovedparten af alle de milliarder af mennesker, der er på nettet, udgør 0-dagssårbarheder ikke nogen reel trussel."

Det, Microsoft og Andrew Storms til gengæld er enige om rent faktisk udgør en trussel, er de angreb, der snyder brugerne til at gøre et eller andet farligt - det, der er kendt som 'social engineering' - som for eksempel til at downloade en ondsindet fil.

Ved hjælp af et komplekst pointsystem, der redegør for alle de forskellige angrebsstrategier som malware bruger nu, og data fra en anden kilde - trusler fjernet fra pc'er med Microsofts gratis værktøj Malicious Software Removal Tool (MSRT) - konkluderer virksomheden, at 45 procent af al malware bliver spredt ved hjælp af brugerne.

"Exploits, der udnytter social engineering og som kræver brugernes medvirken, er, ifølge data fra MSRT, både den mest udbredte og alvorlige trussel," siger Jeff Jones.

"Jeg er overhovedet ikke uenig med dem," siger Andrew Storms, der ikke desto mindre skyder mod Microsoft for ikke at gøre som deres egne data prædiker.

"Hvis det er tilfældet, så skulle Microsoft tilbyde højere prioriteringer i virksomhedens sikkerhedsklassifikationer," siger Andrew Storms.

Prioriter rigtigt

Han hentyder til Microsofts fire sikkerhedskategorier, som virksomheden bruger til inddeling af sikkerhedsopdateringer, og det faktum, at sårbarheder, der kræver brugerinteraktion for at kompromittere computeren, som regel kun får betegnelsen "vigtig", som er den anden højeste vurdering.

"De siger som udgangspunkt, at den slags exploits er mindre vigtige, eftersom brugerinteraktion er påkrævet," siger Andrew Storms.

"Og det er jo helt påfaldende, når man ser på de her data."

Ud af de fem sikkerhedsopdateringer, som Microsoft udsendte i sidste måned, fik alle de tre sårbarheder, hvor Microsoft fortalte, at de kunne "tillade fjernkode-udnyttelse," betegnelsen "vigtige" og ikke "kritiske", trods det at virksomheden regner med, at der vil dukke angrebskode op til sårbarhederne inden for 30 dage.

Ifølge Microsofts definition bliver betegnelsen kritisk givet til "sårbarheder, som i tilfælde af udnyttelse muliggør spredning af en internet-orm uden brugerens medvirken."

Microsofts råd til kunder i lyset af de nye oplysninger er ikke overraskende: Jeff Jones råder kunderne til at holde software opdateret med de nyeste sikkerhedsrettelser og til at bruge ny frem for gammel software.

"Gør det grundlæggende," råder Jeff Jones.

"Om noget, så bør [informationerne] få folk til at holde op med at gå i panik over zero days og til at prioritere ordentligt i stedet.

Oversat af Marie Dyekjær Eriksen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere