Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

Tenable 2022 年威胁形势报告:通过解决已知漏洞减少风险暴露情况

Tenable 2022 年威胁形势报告着重强调了要立即修复的漏洞

2022 年威胁形势报告 — Tenable 对安全团队所面临的漏洞和网络威胁审查充分证明了在减低安全风险方面所面临的挑战。 该报告对漏洞形势进行了分析,对影响威胁形势的事件进行了深入探讨,并提供按供应商排序的漏洞详细细分信息。

有些人可能会觉得这份 65 页的报告令人望而却步。实际而言,尽管此类报告非常全面,但其所呈现的漏洞只是安全团队每年所面对的成千上万个漏洞的一部分。Tenable 认为,安全专业人员有效降低风险的唯一方法是将影响当今复杂数字企业的各个因素纳入到整体环境中进行观察。该威胁形势报告是帮助您进行此项工作的工具。

在日常工作中,Tenable 的安全响应团队会检查数百个来源的数据,以确定与我们的客户和更广泛的网络安全行业相关的事件。从这个制高点来看,我们能够全面地查看漏洞和威胁形势,以帮助安全专业人员识别最重要的趋势。对于希望从被动网络安全态势转变为注重预防和主动措施的企业而言,这种上下文视图至关重要。

网络安全企业根本不可能在空中楼阁进行漏洞管理。现代攻击面是很多因素的混合,包括本地和基于云的基础设施、复杂的身份和访问管理系统以及大量的 Web 应用程序和微服务。企业现有的一系列孤立的网络安全工具和系统无助于降低风险。

也许更令人担忧的是,已知的缺陷会年复一年不断偶露峥嵘。

从 2018 年到 2022 年的五年期间,所报告的 CVE 数量以 26.3% 的年均增长率增长。2022 年报告了 25112个漏洞(截至 2023 年 1 月 9 日),比 2021 年报告的 21957 个增长了 14.4%,比 2016 年报告的 6447 个增长了 287%。也许更令人担忧的是,已知的缺陷会年复一年不断偶露峥嵘。事实上,在我们的研究结果中,早在 2017 年就存在的已知漏洞仍表现突出,在 2022 年的前 5 大漏洞列表中占有重要地位。

只分析漏洞态势只会一叶障目。安全专业人员还需要了解威胁态势:攻击者如何利用这些漏洞以及其他工具和策略来攻击企业、政府和非营利组织。

对威胁形势的全面了解是打造有效的风险管理计划的基础,因为这会将人员、流程和技术结合起来。风险暴露管理让企业摆脱孤立安全计划的限制。打造风险暴露管理计划需要汇集来自与漏洞管理、Web 应用程序安全、云安全、身份安全、攻击路径分析和攻击面管理相关的工具的数据,并在包含企业的用户和 IT、运营技术 (OT) 和物联网 (IoT) 资产的独特混合环境中进行分析。目标是什么?拥有执行基于风险的工作流的持续预防性安全计划所需的上下文数据。

为了帮助完成这一任务,《2022 年威胁形势报告》研究了:

  • 全年遭披露和利用的重大漏洞,包括常见的云错误配置甚至如何影响到技术巨头。
  • 勒索软件生态系统的不断演变以及纯粹以勒索为目的的威胁集团的崛起。
  • 软件供应链中持续存在的风险、漏洞和攻击。
  • 高级持续威胁性团伙使用的策略,针对目标企业发动网络间谍以及破坏性和利益驱动的攻击。
  • 在信息有限且缺乏详细的报告要求的情况下,在分析泄露数据时会涉及哪些泄露因素和难点。
  • 影响企业软件的关键漏洞详情。

使用此报告的 5 种方法

安全专业人员可以通过五种主要方式使用本报告中的调查结果:

  1. 通过识别和修复所提到的漏洞和错误配置,降低贵企业的暴露风险。
  2. 通过了解威胁制造者如何入侵企业以及他们为勒索赎金而劫持企业及其敏感数据所采用的谋略,将攻击者拒之门外。
  3. 通过研究常见的数据泄露发生方式以及贵企业为防止数据泄露所采用何种预防措施来保护数据。
  4. 对最常被利用的漏洞进行优先级分析,并最大限度发挥修补和缓解策略的有效性。
  5. 拓宽您的安全控制范围,以解决攻击者不断作为攻击目标的云和身份错误配置。

该报告还提供了安全专业人员可以立即采取的四项行动建议,以改善其预防性网络安全工作,并加强其风险暴露管理实践。

《2022年威胁形势报告》一瞥

该报告分为三个章节,总的来说,旨在对当年网络安全提供一种审慎的看法,让安全专业人员可以轻松了解对其企业最重要的领域。

第一部分探讨了漏洞形势中引人瞩目的事件,包括:

  • Microsoft Exchange Server 的漏洞在攻击中的表现持续突出
  • Log4Shell,值得注意的漏洞和供应链问题
  • 云安全问题和错误配置

第二部分探讨了形成威胁形势的事件,包括:

  • 极权国家活动
  • 勒索软件的持续影响以及生态系统和策略的演变
  • 从公开数据汇编中得出的数据外泄事件和关键观察结果

第三個章節提供本報告中所有弱點的清單,依廠商排序,因此您就能快速地深入瞭解對貴公司而言最重要的弱點。我們深入探索了超過 170 個影響 30 家以上廠商和開放原始碼工具的弱點,包括:Apache、Apple、Atlassian 、F5 Networks 和 Microsoft。

了解详情

相关文章

您可加以利用的网络安全新闻

输入您的电子邮件,绝不要错过 Tenable 专家的及时提醒和安全指导。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable Vulnerability Management 试用版还包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

100 项资产

选择您的订阅选项:

立即购买

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable Vulnerability Management 试用版还包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

100 项资产

选择您的订阅选项:

立即购买

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable Vulnerability Management 试用版还包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

100 项资产

选择您的订阅选项:

立即购买

试用 Tenable Web App Scanning

您可以通过 Tenable One 风险暴露管理平台完全访问我们专为现代应用程序量身打造的最新 Web 应用程序扫描产品。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。立即注册。

Tenable Web App Scanning 试用版还包含 Tenable Vulnerability Management 和 Tenable Lumin。

购买 Tenable Web App Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable Lumin

使用 Tenable Lumin 直观呈现及探索您的风险暴露管理,长期追踪风险降低状况,并比照同行业者进行基准衡量。

Tenable Lumin 试用版还包括 Tenable Vulnerability Management 和 Tenable Web App Scanning。

购买 Tenable Lumin

联系销售代表,了解 Tenable Lumin 如何帮助您获取整个企业的洞见并管理网络安全风险。

免费试用 Tenable Nessus Professional

免费试用 7 天

Tenable Nessus 是当今市场上功能最全面的漏洞扫描器。

新 - Tenable Nessus Expert
不可用

Nessus Expert 添加了更多功能,包括外部攻击面扫描,以及添加域和扫描云基础设施的功能。单击此处试用 Nessus Expert。

填写下面的表格可继续试用 Nessus Pro。

购买 Tenable Nessus Professional

Tenable Nessus 是当今市场上功能最全面的漏洞扫描器。Tenable Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。

选择您的许可证

购买多年期许可,即享优惠价格

添加支持和培训

免费试用 Tenable Nessus Expert

免费试用 7 天

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

已经有 Tenable Nessus Professional?
升级到 Nessus Expert,免费试用 7 天。

购买 Tenable Nessus Expert

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

选择您的许可证

购买多年许可证,节省幅度更大。

添加支持和培训