您的网络防御者策略成熟度如何?
在最新研究中,我们调查了 2100 个组织的实际漏洞评估行为,旨在了解防御者如何在网络安全机制中做到关键的这一步。
在最新的调查研究中,即“网络防御者策略:漏洞评估行为揭示的意义”,我们探索组织如何实施漏洞评估 (VA),以及通过这些行为,我们对网络成熟度有了怎样的认知。
先前的研究“量化攻击者的先发优势”激发了我们的好奇心,研究中发现攻击者平均只要 5 天就能侵入一个有效漏洞。反过来,我们了解到,防御者评估一个漏洞平均要花费 12 天的时间。这两个结果之间的差异,使得攻击者平均拥有 7 天可发动攻击的时间,而防御者此时甚至不会意识到自身容易遭到攻击。这就促使我们考虑,在 Cyber Exposure 生命周期最重要的发现和评估阶段,防御者会如何表现。
网络防御者策略报告主要关注与五阶段 Cyber Exposure 生命周期中“发现”和“评估”阶段相关的关键绩效指标 (KPI)。在第一阶段“发现”中,对资产进行识别和映射,使其在任何计算环境中均可见。在第二阶段“评估”中,涉及了解所有资产的状态,包括漏洞、错误配置,以及其他网络健全指标。虽然这只是一个较长过程中的两个阶段,却共同决定了后续阶段的范围和节奏,如确定优先顺序和修复措施等。
我们希望深入了解最终用户实际进行漏洞评估的方式,借此获知其整体成熟度等级,及其基于人口统计数据的变化情况。
网络防御者策略:了解漏洞评估 KPI
在网络防御者策略报告中,我们分析了基于最终用户实际漏洞评估行为的五个关键性能指标 (KPI)。这些 KPI 与四种 VA 成熟度类型相关:勤奋型、研究型、调查型以及极简型。
我们发现,该数据集内近半数的企业 (48%) 实施非常成熟的漏洞评估策略,表现为勤奋型或研究型。然而,还有过半数 (52%) 的企业在实施中低等级的 VA 成熟度,表现为调查型或极简类。稍后我们会详细说明这一切所揭示的意义。现在首先快速浏览一下我们得出这些结果所采用的方法。
为了识别四种 VA 类型,我们使用匿名扫描遥测数据训练出一种叫做原型分析 (AA) 的机器学习算法,这些数据来自 66 个国家/地区的 2100 多个独立组织。在 2018 年 3 月到 5 月这三个月中,我们共分析了超过 300,000 次扫描。我们在该数据集内确定了一些理想的 VA 行为,然后将组织分配到群组,分配依据是与之最密切相关的原型定义。有关每种防御者类型的漏洞评估特征说明,可见下表。
四种漏洞评估类型:揭示的意义
|
VA 类型 |
VA 成熟度等级 |
特征 |
|
勤奋型 |
高等级 |
勤奋型会进行全面的漏洞评估,根据用例要求定制扫描,但只是有选择地进行身份验证。 |
|
研究型 |
中高等级 |
研究者会执行高成熟度的漏洞评估,但仅评估选定的资产。 |
|
调查型 |
中低等级 |
调查者经常进行广泛的漏洞评估,但主要关注远程漏洞以及面向网络的漏洞。 |
|
极简型 |
低等级 |
极简型通常按照合规性要求执行最低限度的漏洞评估。 |
来源:Tenable 网络防御者策略报告,2018 年 8 月。
有关每种漏洞评估类型的发现如下:
- 只有 5% 的企业属于勤奋型,在大多数 KPI 中表现出高等级的成熟度。勤奋型企业会在全面的资产范围内进行经常性的漏洞评估,并为不同资产组和业务部门进行有针对性的特定评估。
- 43% 的企业属于研究类,呈中高等级的成熟度。这些组织具有良好的扫描频率、利用有针对性的扫描模板,并对其大部分资产进行身份验证。
- 19% 的企业属于调查型,呈低中等级的成熟度。调查者会进行广泛的评估,但是很少进行身份验证,也几乎不定制扫描模板。
- 33% 的企业属于极简型,成熟度很低,只对选定资产进行有限的评估。
Tenable 网络防御者策略报告:主要发现
来源:Tenable,网络防御者策略报告,2018 年 8 月。
漏洞评估无小事,不论成熟度等级为何
现在,您对于自己漏洞评估策略的表现如何,或许已经有了一定概念。即使贵组织似乎倾向于低成熟度的调查型或极简型,也无需担忧。低成熟度本身没有问题。止步不前才是忧患所在。
如果您是后期采用者,那么当务之急就是努力迎头赶上。但这也意味着您可以从早期采用者的错误和经历中取经。贵组织可以选择使用经过测试的可靠产品并从中获益,而不是充当测试平台,试用未经测试又欠成熟的新解决方案。此外,还可以利用现成的专业知识库,不必从头开发自己的策略。您可以跳过实验阶段,直接开展优化和创新。
而且,即使您确认使用此处强调的最成熟漏洞评估策略,也不表示可以一劳永逸。哪怕是最老练的防御者,也明白自己的工作远未结束。<?p>
无论您的漏洞评估策略最接近哪种类型,终极目标始终是向更高级的成熟度发展。我们知道这绝非易事。网络安全专业人士还背负着许多过去的包袱。您不但要处理早期技术和相关项,还要面对管理产品组合不断增长的复杂性,其中涉及持续演进以及各项新兴技术。与此同时,威胁环境在过去几年也明显升级。而所有这一切发生的背景就是激烈的商业竞争压力。
我们在网路安全方面可谓达到了逃逸速度,现在大多数组织也了解到这一点。
我们在网络防御者策略报告中就每种 VA 类型提供建议,旨在帮助您发展到下一成熟度等级。我们还将探索这四种 VA 类型在主要行业垂直领域和组织规模的分布情况,以便您可以在同行业中进行横向比较。点击下载完整报告。
了解详情:
相关文章
Pig Butchering Scam: How Bitcoin, Ethereum, Litecoin and Spot Gold (XAUUSD) Investments Are Used in Romance Scams to Steal Hundreds of Millions
February 14, 2024This is the second part of a two-part series based on firsthand research into pig butchering scams from the end of 2022 into early 2024. In this post, we delve into the types of investment scams perpetrated by pig butchers to steal hundreds of millions of dollars from victims, including in the form of cryptocurrency and spot gold.
Tales Of Zero-Day Disclosure: Tenable Researchers Reveal Recommendations for a Successful Experience
November 15, 2021Real life stories of vulnerability discovery and disclosure from Tenable’s Zero Day Research team offer guidance you can use to refine your organization's policies.
Spotlight on Brazil: Remote Work Requires New Risk Management Practices
October 14, 2021Remote work is here to stay — along with the risks it introduces to Brazilian organizations, if not managed properly. Here's what you need to know. The pandemic forced many Brazilian organizations to...
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning