漏洞情报报告:以威胁为中心的优先级分析方案
Tenable Research 致力于为企业提供所需的实际数据,帮助企业采用以威胁为中心的漏洞管理方法。
到目前为止,仍然很难真正洞察有关 Cyber Exposure 的真实状况,也就是防御者如何采取实际行动,而非其所思所云。
新发布的漏洞态势报告概述了当前的漏洞披露趋势,并深入解析企业环境下有关漏洞的实际统计数据。此报告根据受影响企业的数量分析通常环境中的漏洞被利用率,以突显安全从业人员正在实际应付的漏洞,而非空谈理论。
鉴于企业环境中检测到的所有漏洞中有高达 61% 被评定为高危级别,网络安全团队急需确定哪些漏洞会真正构成风险,并优先处理最危急的漏洞,从而最大限度利用有限的修复资源。如果所有问题都很紧急,分类的意义将无从谈起。
良好的优先级排序至关重要
要进行优先级排序,企业首先需要更好地了解漏洞的实际影响,而非理论影响。作为一项优先级排序指标,CVSS 存在缺陷。由于将大多数漏洞归类为“高危”或“严重”严重性,它在规模和数量方面缺乏足够的细粒度。从 CVSSv2 向 CVSSv3 的转变只会增加问题的严重性,因为大多数漏洞目前都登记为“高危”或“严重”。
常识告诉我们,如果不将事项划分轻重缓急,则注定一事无成,因此我们需要一种更好的优先级排序方法。这种洞察力需要考虑环境,例如威胁情报,如此一来,企业才能根据“通常环境中”的实际威胁对漏洞进行优先级排序。
Tenable Research 准备在此漏洞态势报告中提供这种洞察力。
此报告根据单日受影响企业的最大数量分析漏洞流行率,以突显安全从业人员每天在着力应对的漏洞。
平均而言,一家企业每一天在 960 项资产中会发现 870 个 CVE 漏洞。这意味着基于仅修复高严重性 CVE 的优先级排序方法,每天仍会给一般企业留下超过 548 个漏洞需要进行评估和优先级排序,而这些漏洞通常位于多个系统之上。
这意味着基于仅修复严重 CVE 的优先级分析方法,每天仍会给一般企业留下上百个漏洞需要按照补丁进行优先级分析,而这些漏洞通常位于多个系统之上。让问题更加严重的是,这些漏洞并未归类为“严重”(即 CVSS 评分低于 9),而这会造成灾难性的影响,例如 WannaCry 就是利用评分低于 9.0 的一个漏洞(该漏洞评分为 8.5)。
该研究证明,管理漏洞从规模、速度和数量上来看都可谓一项艰难的挑战。这不仅是工程技术层面的困难,还需要以威胁为中心的视角,针对成千上万个乍看没有任何不同的漏洞,排出优先顺序。
报告中包含前 20 大漏洞排行榜单 – 深入解析企业中不同技术资产上存在的最流行的漏洞。该榜单依据实际遥测数据,揭示企业环境中实际存在哪些漏洞,并且随后会构成极大真实风险。利用此信息,企业可以清晰地认识到,他们需要着重关注哪些漏洞。
主要发现
- 漏洞数量越来越庞大 – 2017 年总计公布了 15038 个新漏洞,相比 2016 年的 9837 个增长 53%。2018 年追踪到 18000-19000 个新漏洞。企业在其环境中发现的漏洞有三分之二 (61%) 具有 CVSSv2 高危严重性 (7.0-10.0)。
- 但真正构成问题的并不多 - 其中仅 7% 的漏洞属于公开漏洞。事实上多数漏洞从未发展成有用的漏洞,其中会遭到威胁发动者利用并作为武器部署使用的更是少之又少。找出并修复这 7% 对于改善企业的 Cyber Exposure 至关重要。
根据当前预测,在 2018 年将发布超过 1500 个可利用漏洞,相当于每周发布超过 28 个可利用漏洞。因此,良好的洞察力不可或缺,而非“可有可无”。点击此处下载漏洞态势报告,获取您所需的洞察分析,着手构建基于风险的优先级排序方法。
了解详情:
- 下载漏洞态势报告。
- 阅读电子书:如何对网络安全风险进行优先级排序:首席信息安全官入门手册。
- 阅读我们的技术博客: 值得您关注的三大漏洞态势洞察力
相关文章
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning