W dawnych czasach świat cyberbezpieczeństwa wydawał się znacznie prostszy i przewidywalny. Gdy ktoś złośliwe zamiary miał na myśli, szukał sam siebie ciekawych luk w oprogramowaniu, które mógłby wykorzystać do stworzenia wirusa lub sprzedaży brokerom.
Era Zero Day jako symbol prestiżu
Kiedyś odkrycie niezałatanej luki, czyli tak zwanego zero day, było czymś wielkim i niespotykanym. Tacy badacze widzieli je na własne oczy tylko nieliczni ludzie, co czyniło to osiągnięciem o ogromnym prestiżu.
Czym więcej takich odkryć miał ktoś na koncie, tym bardziej gruby był jego kociołek sławy. Jednak krajobraz tej branży uległ drastycznej transformacji w ciągu ostatniej dekady, co potwierdzają dane z serwisu Zero Day Clock.
Statystyka jako dowód kryzysu
Jeszcze niecałą dekadę temu czas upływający od odkrycia podatności do jej wykorzystania można było mierzyć w miesiącach lub nawet latach. Obecnie sytuacja jest odwrotna – ten czas ma często wartość ujemną, co oznacza, że badacze dowiadują się o dziurach dopiero wtedy, gdy widzą realne ataki.
W poprzedniej dekadzie takie przypadki stanowiły około dziesięciu do piętnastu procent wszystkich zgłaszanych podatności. Dziś liczba ta wynosi prawie siedemdziesiąt proc., co świadczy o tym, że hakerom udaje się szybciej niż komukolwiek inny znaleźć sposób na wykorzystanie błędów.
Rozrost identyfikatorów CVE
Zmiana skali problemu jest tak drastyczna, że widać to nawet po formacie numeru nadawanego lukom. Z końcem zeszłego tysiąclecia identyfikator składał się z czterech cyfr, a obecnie wymaga już siedmiu znaków.
To sprawia, że osoby zajmujące się łataniem luki są zasypywane coraz większą ilością pracy, próbując nadążać za tempem generowania nowych zagrożeń przez programistów i badaczy bezpieczeństwa.
Przyspieszenie ataków
Liczba ofensywnie wykorzystywanych podatności rośnie również w zatrważającym tempie. Aktualnie jest ich rocznie jakieś pięćset, co oznacza ponad jedną dziennie, z czego około trzyście stanowią zero day.
Sredni czas wykorzystania luki ma spaść do zaledwie godziny już w tym roku, a za kilka lat może wynieść nawet minutę. Zmieni to realia na froncie walki dobra ze złem w sposób, którego pewnie nie możemy sobie jeszcze wyobrazić.
Diagnoza przyczyn
Należy zrozumieć źródła tego kryzysu, które leży po stronie ćwierćwiecza zaniedbań. Badacze grzmeli o problemie przez lata, ale nikt ich nie słuchał do momentu, gdy konsekwencje stały się zbyt duże.
W 2001 roku Ross Anderson zauważył już wtedy znaczną asymetrię w branży cyberbezpieczeństwa. Atakującemu wystarczy znalezienie jednej luki, podczas gdy twórcy oprogramowania muszą zabezpieczyć cały zamek, każde wejście i każdy przesmyk.
Koszty bezpieczeństwa
Dlatego też ponoszą znacznie większe koszty w całym tym starciu dobra ze złem, co w dłuższej perspektywie jest po prostu nie do utrzymania dla tradycyjnych firm. To dopiero początek branżowych problemów, które wymuszają całkowitą zmianę podejścia.
Podsumowanie
Konieczność aktualizacji oprogramowania przestaje być opcją i staje się kwestią życia lub śmierci organizacji. Musimy zaakceptować fakt, że liczba zgłaszanych podatności rośnie szybciej niż ich łatanie.