ネットワークがハッキングされている：慣れる

毎月第2火曜日の「パッチ火曜日」に、MicrosoftはWindowsおよびMicrosoftアプリケーションのバグとセキュリティホールのパッチをプッシュします。 ほとんどの場合、対処された問題には、深刻なセキュリティホール、ハッカーがネットワークセキュリティに侵入したり、情報を盗んだり、任意のコードを実行したりできるプログラミングエラーが含まれます。 Adobe、Oracle、およびその他のベンダーには、独自のパッチスケジュールがあります。 NSS Labsの驚くべき新しい研究は、ハッカーが平均して、最初の発見から修復までの間にこれらのセキュリティホールに約5か月間自由にアクセスできることを示唆しています。 さらに悪いことに、新たに発見された脆弱性を販売する専門のマーケットプレイスが存在します。

NSS LabsのリサーチディレクターであるStefan Frei博士は、2つの主要な「脆弱性購入プログラム」の10年以上のデータを調査した調査を監督しました。 Freiのレポートは、結果の数値はすべて最小値であることを指摘しています。 彼らが単に知らないだけのことは明らかにたくさんあります。 彼らが知っていることに基づいて、エクスプロイトに関する情報の市場はここ数年で大きく成長しました。 10年前、調査した2つの企業は、特定の日にほんのわずかな未公開の脆弱性を抱えていました。 過去数年間で、その数は150を超え、そのうち50以上は、Microsoft、Apple、Oracle、Sun、Adobeの上位5社に関連しています。

販売用エクスプロイト、格安

国家レベルでのStuxnetおよびその他の攻撃は、セキュリティを貫通するために複数の未公開のセキュリティホールに依存しています。 これらのゼロデイ脆弱性への排他的アクセスを得るために、作成者は巨額の配当を支払うと想定されています。 NSAは、2013年にエクスプロイトの購入のために2, 500万ドルを予算化しました。Freiの調査では、価格が現在はるかに低いことが明らかになりました。 依然として高いですが、サイバー犯罪組織の手の届く範囲にあります。

Freiは、4つのブティックエクスプロイトプロバイダーを調査したNew York Timesの記事を引用しています。 まだ公開されていない脆弱性に関する知識の平均価格は、40, 000ドルから160, 000ドルの範囲でした。 これらのプロバイダーから取得した情報に基づいて、彼は年間少なくとも100のエクスプロイトエクスプロイトを配信できると結論付けています。

ベンダーの反撃

一部のソフトウェアベンダーは、バグの報奨金を提供して、クラウドソーシング型の調査プログラムを作成しています。 未知のセキュリティホールを発見した研究者は、ベンダーから直接正当な報酬を得ることができます。 それは、サイバー詐欺師やサイバー詐欺師に売る人々よりも確実に安全です。

典型的なバグ報奨金は、数百から数千ドルの範囲です。 Microsoftの「Mitigation Bypass Bounty」は100, 000ドルを支払いますが、それは単純なバグ報奨金ではありません。 それを獲得するには、研究者はWindowsの最新バージョンを破壊できる「真に斬新な悪用手法」を発見する必要があります。

ハッキングされた

バグの報奨金は素晴らしいものですが、ブティックエクスプロイトプロバイダーやサイバー犯罪者が提供するより大きな報酬を求める人は常に存在します。 このレポートは、企業や大規模な組織はネットワークが既にハッキングされていると想定すべきだと結論付けています。 ゼロデイ攻撃をブロックまたは検出することは難しいため、セキュリティチームは、明確に定義されたインシデント対応計画で最悪の事態を計画する必要があります。

中小企業やパーソナルネットワークはどうですか？ レポートではそれらについては説明していませんが、エクスプロイトへのアクセスに40, 000ドル以上を支払った人が、可能な限り最大のターゲットを狙うと想定しています。

NSS LabsのWebサイトで完全なレポートを読むことができます。