量化攻击者的先发优势
Tenable Research 最近发布了一项报告,分析了特定漏洞可遭公开利用与漏洞首次评估之间的时间差。
在这项研究中,我们分析了 2017 年最后三个月内近 200,000 次漏洞评估扫描中发现的 50 个最常见的关键和高危漏洞,并将分析结果公诸于世。我们根据这些漏洞来得出“可利用时间”和“评估时间”,以计算差值中位数。
差值表示防御者和攻击者在这场竞赛中的第一步行动。虽然这并不代表双方的完整 OODA 循环(观察、调整、决策和行动),但确实表明谁拥有先发优势,以及谁最终会占据上风。
负差值表示在防御者发现面临风险之前,攻击者有时间来利用漏洞。
攻击者正保持领先地位
我们的分析表明,差值中位数为 -7.3 天。可利用时间的中位数为 5.5 天,相比而言,评估时间的中位数为 12.8 天。平均而言,这使攻击者领先防御者七天。
76% 的分析漏洞拥有负差值。因此,根据我们对不同漏洞的分析,攻击者往往会夺得先发优势。
当差值为正数时,通常是因为漏洞过了很久才遭到利用,而不是因为防御者的扫描频率较快。事实很明显,34% 的分析漏洞在披露当天即遭到利用,这个问题很严重。当我们深入研究各个漏洞时,这个过程变得非常有趣。
在我们分析的 50 个最常见漏洞中,有 24% 正遭到各种恶意软件、勒索软件或漏洞利用工具包大肆利用。另外 14% 的漏洞极为严重,在媒体中有广泛报道。样本集包含的漏洞遭到 Disdain 和 Terror 漏洞利用工具包以及 Cerber 和 StorageCrypt 勒索软件的利用,甚至有 APT 团体(例如 Black Oasis)利用其安装 FinSpy 间谍监控软件。
夺回有利地位
大多数安全专家正在奋起直追,但量化攻击者的先发优势有助于确定我们落后多少,以及需要采取什么行动来缩小安全缺口。
许多组织每月甚至每季度才进行一次漏洞评估。这主要是由内部因素驱动,而不是外部因素,比如公司规定的每月补丁周期。我们往往忽略了对手正在掌控竞赛规则。虽然我们无法控制攻击者决定进行攻击的时间和方式,但我们可以控制自身的环境。
我们的扫描行为分析表明,超过 25% 的组织正以两天或更少时间的频率进行漏洞评估。这是一个可实现的目标,并将减少攻击者对大多数漏洞的领先优势。但由于这一流程本身有所延迟,仍有其他风险无法仅通过提高扫描频率来加以解决。
管理漏洞和 Cyber Exposure 的更有效方式不是基于启停模式或离散周期,而是考虑到以下出发点:
- 持续评估安全态势
- 积极解决可预见的风险
- 快速应对意料之外和新出现的漏洞
各种威胁正以前所未有的速度在不断扩大的网络攻击面上扩散,我们需要采取更灵活的流程来发挥反馈回路的作用。SecDevOps 的新兴方法已提供一些可靠的最佳做法,但这也要求安全和运营团队更好地配合以及更紧密地合作。
我们不应该低估漏洞评估的价值,因为此举可以提供信息和 Cyber Exposure 态势感知,并在回路中提供“反馈”。尽管我们无法立即修复每个漏洞,但持续评估仍然可以推动我们进行临时的应急修复,或确定必须采用的减轻控制措施(如访问控制),以缩小延迟修复并因此产生的风险暴露缺口。
加快漏洞评估的速度
如需获取如何加快漏洞评估的建议和我们分析的详细见解,请下载量化攻击者的先发优势报告。
相关文章
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning