Mandiant zag in 2023 meer zerodays dan ooit tevoren
Ontdekken softwarefabrikanten fouten of kwetsbaarheden in hun software, dan proberen ze de fout doorgaans zo snel mogelijk recht te zetten. Dat moet ervoor zorgen dat cybercriminelen de kwetsbaarheid niet kan misbruiken. In sommige gevallen zijn de cybercriminelen echter eerst en kunnen zij een kwetsbaarheid misbruiken voor de ontwikkelaar daar weet van heeft. In die gevallen spreken we over ‘zerodays’.
Steeds meer zerodays
Zo’n zerodays lijken steeds vaker voor te komen, stellen ook cybersecuritybedrijven vast. Mandiant, een dochteronderneming van Google, rapporteerde in 2023 maar liefst 138 uitgebuite kwetsbaarheden. Van die 138 kwetsbaarheden werden er maar liefst 97 uitgebuit voordat er een patch beschikbaar was. Daardoor zijn zerodays goed voor maar liefst 70% van de misbruikte kwetsbaarheden. Volgens Mandiant is die schatting bovendien erg conservatief. Niet altijd wordt namelijk meegedeeld wanneer softwarefouten misbruikt worden, of wordt een vage tijdspanne gegeven. Bij het bedrijf gingen ze dan steeds van de laatst mogelijke datum uit. Daardoor ligt het ware aantal zerodays wellicht iets hoger.
Hoe dan ook is duidelijk dat er in 2023 meer zerodays voorkwamen. In 2021 en 2022 ging het nog om ongeveer 60% van de kwetsbaarheden. Volgens de cybersecurityfirma stemt die stijging daadwerkelijk overeen met een hoger aantal zerodays. Het is dus niet zo dat de zogenaamde N-days, fouten die na ’N aantal dagen’ misbruikt worden, in aantal gedaald zijn.
N-days
Hoelang het duurt voordat kwetsbaarheden uitgebuit worden, verschilt natuurlijk voor elke kwetsbaarheid. Zerodays worden al misbruikt voordat fabrikanten en cybersecuritybedrijven ervan op de hoogte zijn. Sommige kwetsbaarheden worden echter pas misbruikt nadat ze gepatcht werden. Dat gebeurt sneller en sneller, ziet Mandiant. In 2018 en 2019 lag de gemiddelde duur nog op 63 dagen. In 2020 lag dat cijfer op 44 dagen. Nemen we het gemiddelde van de periode 2021-2022, dan komen we uit op 32 dagen. Voor 2023 ligt de ‘time to exploit’ op gemiddeld 5 dagen. Dat wil zeggen dat er gemiddeld 5 dagen zitten tussen de het patchen van veiligheidsrisico’s en het misbruiken ervan. Soms gebeurt dat al binnen een dag of week en voor het overgrote deel van de misbruikte kwetsbaarheden gebeurt dat binnen de maand