Az év első hat hónapja során gyűjtött adatok alapján az IBM X-Force IT-biztonsági kutatói szerint idén – 2011 óta először – ismét a 8 ezres határ alá csökkenhet a nyilvánosságra hozott szoftversérülékenységek száma. Az eddig jelentett biztonsági rések többsége közepesen magas kockázati szintű volt, azonban az értékelésükre használt rendszer, a Common Vulnerability Scoring System (CVSS) gyakran nem tükrözi veszélyességük valódi fokát, hívták fel a figyelmet a héten közreadott elemzésükben (IBM X-Force Threat Intelligence Quarterly, Q3 2014) a szakemberek.
Mintegy 3900 újonnan felfedezett sérülékenységet azonosítottak a januártól júniusig terjedő időszakban az X-Force kutatói, akik – az IBM által 2006-ban felvásárolt Internet Security Systems kutatási és fejlesztési ágazatán belül – 1997 óta gyűjtik és elemzik a szoftverszállítók által, valamint a biztonsági résekkel foglalkozó ágazati fórumokon, levelezőlistákon közzétett adatokat és információkat. Ha a nyilvánosságra hozott sérülékenységek száma 2014 második felében is hasonlóan alakul, akkor idén pár százzal kevesebb lehet belőlük, mint az elmúlt két évben.
Korai lenne azonban még fellélegezni a statisztika láttán. A sérülékenységek mintegy harmadát (32 százaléka) az idei év első felében is a 10 legnagyobb szoftverszállító termékeiben fedezték fel. Ez az arány 2013-ban 34 százalék volt. Elgondolkodtató azonban, hogy míg tavaly összesen 1602 szállító tett közzé információkat a szoftvertermékeiben talált biztonsági réseket illetően, addig ez a szám 2014-ben csaknem a felére, 926-ra csökkent.
A sérülékenységek puszta számánál persze sokkal fontosabb, hogy mekkora biztonsági kockázatot jelentenek. Ennek megítélését a szakma a CVSS rendszer megalkotásával igyekezett szabványosítani, azonban már a múltban többen kétségbe vonták, hogy a módszerrel hiteles kép alkotható a veszély mértékéről, amelyet egy-egy sérülékenység jelent. Az immár második verziójánál tartó CVSS hiányosságai az Open SSL könyvtárban idén áprilisban felfedezett és Heartbleed néven elhíresült sérülékenység kiértékelésekor ismételten megmutatkoztak. Közepesen veszélyesnek – 10-es skálán 5-ös erősségűnek – minősítette ugyanis a CVSS a becslések szerint két éve fennálló sérülékenységet, amely jóformán az internet egész infrastruktúráját, így potenciálisan a legnépszerűbb online szolgáltatások többségét, felhasználók százmillióit érinthette.
Óhatatlanul felmerül a kérdés, hogy a CVSS a Heartbleedhez hasonlóan mely sérülékenységeknek adhatott még 4,0 és 6,9 közötti, közepes kockázati szintet jelölő pontszámot – tévesen.
Jóllehet a CVSS 2-es verziója előrelépést hozott, a sérülékenységek egyes típusait és vektorait nem támogatja, illetve írja le megfelelően, ami szubjektív és következetlen értékeléshez vezet, mutattak rá a X-Force kutatói. Miután a szabvány alkalmazása éppen ennek hivatott elejét venni, itt az ideje, hogy a CVSS-t gondozó szervezet, a Forum for Incident Response and Security Teams (FIRST) verziófrissítéssel kezelje a problémát.