量化攻击者的先发优势

Tenable Research 最近发布了一项报告，分析了特定漏洞可遭公开利用与漏洞首次评估之间的时间差。

在这项研究中，我们分析了 2017 年最后三个月内近 200,000 次漏洞评估扫描中发现的 50 个最常见的关键和高危漏洞，并将分析结果公诸于世。我们根据这些漏洞来得出“可利用时间”和“评估时间”，以计算差值中位数。

差值表示防御者和攻击者在这场竞赛中的第一步行动。虽然这并不代表双方的完整 OODA 循环（观察、调整、决策和行动），但确实表明谁拥有先发优势，以及谁最终会占据上风。

负差值表示在防御者发现面临风险之前，攻击者有时间来利用漏洞。

攻击者正保持领先地位

我们的分析表明，差值中位数为 -7.3 天。可利用时间的中位数为 5.5 天，相比而言，评估时间的中位数为 12.8 天。平均而言，这使攻击者领先防御者七天。

76% 的分析漏洞拥有负差值。因此，根据我们对不同漏洞的分析，攻击者往往会夺得先发优势。

当差值为正数时，通常是因为漏洞过了很久才遭到利用，而不是因为防御者的扫描频率较快。事实很明显，34% 的分析漏洞在披露当天即遭到利用，这个问题很严重。当我们深入研究各个漏洞时，这个过程变得非常有趣。

在我们分析的 50 个最常见漏洞中，有 24% 正遭到各种恶意软件、勒索软件或漏洞利用工具包大肆利用。另外 14% 的漏洞极为严重，在媒体中有广泛报道。样本集包含的漏洞遭到 Disdain 和 Terror 漏洞利用工具包以及 Cerber 和 StorageCrypt 勒索软件的利用，甚至有 APT 团体（例如 Black Oasis）利用其安装 FinSpy 间谍监控软件。

夺回有利地位

大多数安全专家正在奋起直追，但量化攻击者的先发优势有助于确定我们落后多少，以及需要采取什么行动来缩小安全缺口。

许多组织每月甚至每季度才进行一次漏洞评估。这主要是由内部因素驱动，而不是外部因素，比如公司规定的每月补丁周期。我们往往忽略了对手正在掌控竞赛规则。虽然我们无法控制攻击者决定进行攻击的时间和方式，但我们可以控制自身的环境。

我们的扫描行为分析表明，超过 25% 的组织正以两天或更少时间的频率进行漏洞评估。这是一个可实现的目标，并将减少攻击者对大多数漏洞的领先优势。但由于这一流程本身有所延迟，仍有其他风险无法仅通过提高扫描频率来加以解决。

管理漏洞和 Cyber Exposure 的更有效方式不是基于启停模式或离散周期，而是考虑到以下出发点：

• 持续评估安全态势
• 积极解决可预见的风险
• 快速应对意料之外和新出现的漏洞

各种威胁正以前所未有的速度在不断扩大的网络攻击面上扩散，我们需要采取更灵活的流程来发挥反馈回路的作用。SecDevOps 的新兴方法已提供一些可靠的最佳做法，但这也要求安全和运营团队更好地配合以及更紧密地合作。

我们不应该低估漏洞评估的价值，因为此举可以提供信息和 Cyber Exposure 态势感知，并在回路中提供“反馈”。尽管我们无法立即修复每个漏洞，但持续评估仍然可以推动我们进行临时的应急修复，或确定必须采用的减轻控制措施（如访问控制），以缩小延迟修复并因此产生的风险暴露缺口。

加快漏洞评估的速度

如需获取如何加快漏洞评估的建议和我们分析的详细见解，请下载量化攻击者的先发优势报告。