首页 > 手机 > 配件 > WordPress,cvss

WordPress,cvss

来源:整理 时间:2022-04-02 13:05:53 编辑:华为40 手机版

当今的数字时代如何进行漏洞管理?

当今的数字时代如何进行漏洞管理

Gartner VPT技术原理——Tenable:专注于构成风险最大的漏洞Gartner表示:“到2022年,使用基于风险的漏洞管理方法的组织,会减少80%的被攻击可能”【选择脆弱性评估解决方案的指南,Gartner,2019年4月】传统的漏洞管理方法无法适应当今的数字时代不管您在网络安全领域工作了多久,您都一定知道漏洞管理对于识别和降低网络风险至关重要。

为什么呢?因为在每一次重大的网络攻击的背后,都有一个未被解决的漏洞。但是,有一个大问题:在过去的20年里,攻击面在不断演变,漏洞管理人员却未能跟上演变的步伐。当今的IT环境正在不断变化。在数字转型的推动下,现在我们的世界使用代码来编写的,充斥着新技术、新平台和新设备。联想云、物联网、可移动的、网络应用程序——甚至连工业设备也能连接到这个混乱的景观中。

不同类型的资产不断的进入和离开企业当中。最重要的是,有些资产是短暂的——只持续几秒钟或几分钟。再多的资产,再多的漏洞,事情也不会更复杂了。考虑到不断迅速演变膨胀的攻击面,漏洞数量的增长也就不足为奇了。事实上,这个数字已经完全令人生畏了。从2016年到2018年,新发布的漏洞从每年9,837【脆弱性情报报告,Tenable研究报告,2018】激增到每年16,500个。

【美国国家漏洞库(NVD)】平均而言,这意味着企业每天会在960个IT资产中发现870个漏洞。【Tenable研究报告】除了挑战之外,漏洞的严重成都似乎还在增加。由于行业标准的常见漏洞评分系统(CVSS)发生了变化,大多数的漏洞现在被归类为高危或严重漏洞。根据CVSSv3评级,60%的漏洞被认为是高危或者严重等级,而CVSSv2为31%(见图1)。

【脆弱性情报报告,Tenable研究报告,2018】图1:CVSSv2与CVSSv3的分类因此,安全团队正在处理的漏洞数量超过了他们可以处理的。太过于分散这些有限且有价值的资源会迅速导致低效率和工作过度劳累。由于CVSS是没有风险区分的,你最不需要做的就是浪费宝贵的时间来修复那些几乎没有风险的漏洞。与攻击者的竞争仍在继续,并且他们处于领先三个月期间,在分析了大约20万个漏洞评估扫描中最常见的50个严重和高危漏洞后,Tenable研究发现,攻击者比防御者领先了7天的时间。

【量化攻击者的先发优势,Tenable研究报告,2018】黑客在安全团队意识到他们面临风险之前就已经抢先开始利用漏洞。如果不能不间断的了解困扰组织的漏洞,就不可能知道自己的弱点在哪里。传统的漏洞管理主要是以遵从法规为导向,旨在证明遵守法规遵并检查所有制定项目。这意味着漏洞扫描和补救计划通常是间断性的,被审计周期打断,使安全人员痛苦地意识不到重大的漏洞。

幸运的是,有一种方法可以克服这些危险——从本质上改变了攻击者的优势。利用基于风险的漏洞管理来抓住这个机会每个安全行业的从业者都知道不可能完全躲避攻击。但是积极防御的方法是接下来最好的选择。最简单的实现方法是什么呢?就是基于风险的漏洞管理。通过进行基于风险的漏洞管理,您可以自信地回答这三个关键问题:1、业务暴露点在哪里?2、基于可被利用性,我们应该优先考虑哪些问题?3、如果漏洞被利用了,会对业务产生什么影响?基于风险的漏洞管理可以帮助您减少大量的漏洞,为您提供快速、有效地采取修复行动所需的准确关注点。

“开始将其作为一个关键指标进行监控:您有多少可被利用的漏洞在外网”——Gartner【“Gartner的脆弱性管理战略远景”,Craig Lawson; Gartner安全与风险管理峰会演讲,2019年8月,澳大利亚。悉尼】首先,解决基本的可见性问题您无法保护您看不见的东西,也无法解决您不知道的问题。

然而,在整个不断扩展的攻击面上获得全面的可见性并不是一件容易的事情。攻击面和威胁环境都在不断变化,所以不及时的评估为错误的信息决策留下了很大的空间。基于风险的漏洞管理远远超出了传统漏洞管理提供的静态、分散的可见性,并提供了总体动态视图——添加云、容器、web应用程序、物联网、操作技术以及任何计算机平台上的任何资产(见图2)。

无法使用传统的漏洞管理攻击来有效地查看和分析红色圈中的资产:图2:通过进行基于风险的漏洞管理来消除所有盲点通过实施基于风险的漏洞管理,您可以准确地查看组织中的所有潜在风险。然后,回答优先级问题基于风险的漏洞管理也回答了以下问题:“我们首先应该解决什么?”仅使用CVSS来确定优先级还不足够,因为它仅限于漏洞可能引入的风险的理论观点,因此将大多数漏洞归类为高危或严重等级。

CVSS不考虑该漏洞是否正在互联网上被利用。它也不考虑该漏洞是否存在于关键业务或系统上。例如,CVSSv2和CVSSv3优先考虑远程可利用漏洞,不需要用户交互。但是,攻击者更喜欢使用经过验证的、能够持续利用的漏洞。他们通常利用客户端漏洞,通过网络钓鱼攻击、恶意软件驱动器、恶意转换等方式执行。如果仅基于CVSS确定优先级(例如,修补所有评分为9及以上的漏洞),最终会浪费时间和精力去修复永远也不会被利用的和攻击者不喜欢利用的漏洞。

要有效地确认优先级,您需要一种风险驱动的方法,对攻击者关注的关键资产和漏洞进行优先级排序。通过基于风险的漏洞管理,您可以缩小严重漏洞的范围,并从理论中提取实际风险(参见图3)。它使用机器学习的方法自动分析、关联漏洞的严重性、威胁程度和资产重要性,基于风险为您提供明确的重点修复指导。图3:使用 CVSS 与基于风险的优先级排序对比鉴于当今攻击面产生的海量数据,资源紧张的团队不可能全部手动处理。

让机器学习进行分析和关联,这样您就可以与 IT团队合作修复重要的漏洞。“随着我们组织的有机发展,从传统系统转移到云环境,如GCP、亚马逊云和微软Azure,我们的攻击面正在迅速扩大。我们有巨大数量的漏洞。最初检测到大约25万个漏洞,由于传统应用程序的存在,其中一些漏洞被归类严重漏洞和可利用漏洞。我的团队必须有效地对我们的漏洞进行优先级排序以降低我们的网络风险,并领先威胁一步。

——迈克·科斯(Mike Koss), NBrown 集团的IT安全和风险主管基于风险与传统漏洞管理将不可能变为可实现(并消除与 IT团队之间的摩擦)Ponemon Institute最近的一项调查发现,51%的安全团队花在研究人工流程上的时间多于响应漏洞,导致不可避免的响应阻塞【衡量和管理商业运营的网络风险,Ponemon Institute, 2018】。

再加上行业内严重的技能短缺,很容易就能理解为什么团队效率至关重要。基于风险的漏洞管理为您提供指导团队所要关注的重点,同时向您展示您目前积极降低网络风险的工作成果。您会知道您正在采取的管理风险措施是正确的,因为您专注于可能被利用并造成最大伤害的少数漏洞。您还需要定期跟踪这两个KPI:l 评估时间:从漏洞发布到您的团队评估漏洞需要多长时间?l 修复时间:您的团队需要多长时间来响应并与 IT团队合作修复关键漏洞——这些漏洞在互联网上被大量利用后,所造成的最大风险是什么?“我们不能向 IT 团队提供一份包含10,000个“漏洞”的清单,并期望他们与我们合作。

如果我给他们一份几百个漏洞的清单,他们才会参与。”– Dan Bowden,CISO,Sentara Healthcare通过监控这些指标,您可以真实地了解哪些指标有效,哪些指标无效。这种新发现的清晰的漏洞优先级,将使您更好地与IT团队对话。您将与IT团队合作修复真正需要注意的一小部分漏洞,而不是向他们扔一个包含成百上千个需要解决的漏洞的电子表格。

在确定工作中的差距并朝着共同目标取得的进展时,拥有可以依赖的数据会大有不同。衡量和管理业务系统的风险通过基于风险的漏洞管理,您将获得保护业务系统所需的洞察力。如果业务系统的网络风险是不可被接受的,您可以快速确定将其他的安全重心集中在可以降低风险地方。您还可以轻松地将攻击面的网络风险传达给业务领导。管理基于风险的漏洞管理计划所依赖的数据会自动转换为业务领导能够理解的基于风险的指标。

想要将您的工作量直接减少97%吗?尝试预测优先级。预测优先级结合了研究结果、威胁情报和漏洞评级,将需要立即修复的漏洞数量减少了 97%。看看它是如何工作的——查看交互式演示。明确您的优先级——立即尝试基于风险的漏洞管理大多数安全团队表示,他们有X多人在处理Y数量的案例,或者他们的公司有Z数量的开放的严重漏洞。

这些数字如何转化才能使公司被攻击的可能性降到最低?他们不知道。仅减少数量并不能降低您的风险。消除造成直接危险的漏洞才是关键所在。想了解基于风险的漏洞管理如何为您的安全团队提供最大的帮助吗?从今天开始吧。文章内容译自Tenable:《Focus on the vulnerabilities that pose the greatest risk》。

全球Top100机场的总体网络安全性表现如何?

当今的数字时代如何进行漏洞管理

网络安全公司 ImmuniWeb 上周发布了一份报告,内容是针对百大机场的公共网站、移动 App、以及在公共代码存储库和暗网上暴露敏感数据的基本安全检查。遗憾的是,在 Top100 国际机场中,仅有 3 个通过了基本的安全检查,分别是荷兰阿姆斯特丹的史基普机场、芬兰赫尔辛基的万塔机场、以及爱尔兰的都柏林国际机场。

【题图 来自:ImmuniWeb】ImmuniWeb 指出,这三座机场不仅可以为航空业、也能够为其它产业提供值得称道的实施案例。【机场位置分布】研究涵盖了 Skytrax 评选的全球六大区域的 Top100 机场(2019 年数据),研究过程中以非侵入性方式对机场外部 IT 资产的安全性、合规性、和隐私性展开了检测。

【网站安全等级】Forrester 在最近的研究中指出,应用程序与软件漏洞,仍是网络罪犯分子在外展开攻击的常见手段。遗憾的是,Top100 中只有 3 个 www 主网站获得了 A 评级,另有 15 个网站为 A 评级。【易受攻击或使用过时软件】在子域名中,ImmuniWeb 观察到只有 17% 的 Web Apps 获得了 A 级评价,大多数应用程序都在 C ~ F 不等的评价。

【子域网站的安全等级】Gartner 表示,在采用云端 Web 应用程序和 API 保护服务的推动下,Web 应用程序的防火墙(WAF)市场正在增长。【Web Apps 的防火墙使用情况】然而全球各大机场运行的 Web 应用程序中,很少见到 WAF,其仅能保护 55% 的主网站和 40% 的子域名站点。

主站点 TLS 安全性:15 家主网站拿到了 A 评级,38 家为 A,16 家为 B 级。子域名 TLS 安全性:表现糟糕很多,308 个站点为 F,且有 75 个站点未使用加密连接。【主站点 PCI DSS 合规性】尽管 PCI DSS 合规性并非必须,但它和《通用数据保护条例》(GDPR)都涵盖了对基础安全性的要求。

自 2018 年 5 月实施以来,已有有超过 16 万的数据泄露通知,罚款金额为 1.14 亿欧元。让人震惊的是,只有 27 个主站点符合 PCI DSS 要求。至于 GDPR 合规性,也只有 24% 的主站点(24 / 100)和 12% 的子域(158 / 1364)达标。【邮件服务器的 TLS 安全性】在 147 个用于接收或中继电子邮件的服务器中,几乎一半(48%)不支持 SSL / TLS 加密,使得攻击者可轻松展开中间人攻击,拦截流量、并以纯文本格式阅读电子邮件通信。

大约 21% 的邮件服务器(32)获得 A 级评价,其余 44 台服务器的 SSL / TLS 实施易受攻击(较差),且大多数为 C / F 级。【移动安全漏洞风险等级,基于 CVSSv3 评分】这项研究中,ImmuniWeb 找到并测试了属于机场的 36 款官方 App,结果发现了 530 个安全和隐私问题,包括 288 个移动安全漏洞(每个 App 平均 15 个)。

【OWSAP 十大移动风险分布】至于移动后端(Web 服务或 API),只有 55% 的传出连接使用了恰当的 TLS 加密来保护传输中的用户数据。【移动 App 后端 TLS 加密】27% 的连接以明文发送信息,且根本未使用加密(N 级)。5.7% 使用过时、且易受攻击的 SSLv3 协议,成绩为不合格(F 级)。

【暗网暴露风险等级】对结果进行筛查后,ImmuniWeb 发现 Top100 机场中有 66 个,以一种或另一种方式在暗网上暴露。如图所示,有 13 个机场有重大的泄露或暴露风险。【代码存储库暴露风险等级】最后,在 Top100 机场中,有 87 个在某些公共代码存储库(如 GitHub 或 Bitbucket)中公开了一些敏感或内部数据。

截至2020,开源软件漏洞数量在过去一年有怎样的变化?

开源组件已成为当今许多软件应用程序的基础组成部分,这也使得其在安全性方面受到越来越严格的审查。根据开源管理专家 WhiteSource 发布的一份新报告,可知 2019 年公开的开源软件漏洞数增加到了 6000 多个,增速接近 50% 。庆幸的是,有超过 85% 的开源漏洞已被披露,且提供了相应的修复程序。

遗憾的是,开源软件的漏洞信息并没有集中在一处发布,而是分散在数百种资源中。有时索引的编制并不正确,导致搜索特定数据成为了一项艰巨的挑战。根据 WhiteSource 的数据库,在国家漏洞数据库(NVD)之外报告的所有开源漏洞中,只有 29% 最终被登记在册。此外研究人员比较了 2019 年漏洞排名前七的编程语言,然后将之与过去十年的数量进行了比较,结果发现历史基础最好的 C 语言占有最高的漏洞百分比。

PHP 的相对漏洞数量也大幅增加,但没有迹象表明其流行度有同样的提升。尽管 Python 在开源社区中的普及率持续上升,但其漏洞百分比仍相对较低。报告还考虑了通用漏洞评分系统(CVSS)的数据,是否是衡量补漏优先级的最佳标准。过去几年中,CVSS 已进行了多次更新,以期达成为可对所有组织和行业提供支持的客观可衡量标准。

然而在此过程中,CVSS 也改变了高严重性漏洞的定义。这意味着在 CVSS v2 标准下被定为 7.6 的漏洞,在 CVSS v3.0 标准下可能被评为 9.8 。对于各个开源软件的开发团队来说,这意味着他们面临着更多的高严重性漏洞问题,导致现有超有 55% 的用户被高严重性或严重性问题所困扰。报道作者总结道:列表中提及的开源项目漏洞,并不意味着其本质上是不安全的。

在公共网站上发了PoC攻击代码的漏洞是不是最容易被利用发起网络攻击?

本周发表的一项新研究揭示了在过去10年里发现的安全漏洞中实际遭到利用的数量。据悉,这项被认为是迄今为止在同类研究中最广泛的研究发现,在2009年至2018年发现的7.6万个安全漏洞中只有4183个安全漏洞遭到利用。更有趣的是,研究人员发现,在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。

研究小组表示,2009年至2018年间,在4183个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。这意味着,没有公共PoC并不一定会阻止攻击者利用某些漏洞--一些黑客在需要的时候会利用自己的漏洞。严重缺陷被利用的最多研究指出,在外被利用的大多数漏洞都是安全漏洞,它们都具有很高的CVSSv2严重性评分(可以从1到10,其中10分被分配给最危险和最容易遭到利用的漏洞)。

研究小组表示:“在所有被利用的漏洞中,将近一半的漏洞CVSS的得分是9分或更高。”研究工作来源据悉,这项研究的核心数据由多种来源汇编而成的。例如,从NIST的国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。而与在外发现的攻击有关数据则从防御工事实验室收集而来,有关攻击的证据从SANS Internet Storm Center、Secureworks CTU、Alienvault的OSSIM元数据和reverse Labs元数据中收集而来。

关于编写的利用代码信息来自Exploit DB、利用框架(Metasploit、D2 Security的Elliot Kit和Canvas Exploitation Framework)、Contagio、Reversing Labs和Secureworks CTU,研究团队发现在2009年到2018年间PoCs发布的数量有9726个。

此外,通过Kenna Security,安全研究人员还获得了从扫描数百个公司网络的漏洞扫描器信息中提取的每个漏洞的流行程度。未来研究人员希望,他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些最有可能遭到攻击的漏洞。这份研究表明,一个漏洞的CVSSv2得分越高,它遭到严重利用的可能性就越大--无论利用代码公开与否。

文章TAG:WordPresscvss

最近更新