Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

值得您关注的三大漏洞情报洞察

Tenable Research 今天发布的漏洞态势报告概述了当前的漏洞披露趋势,并深入洞悉企业环境下有关漏洞的实际统计数据。以下为此报告的三大要点。

鉴于漏洞是我们在 Tenable Research 一切工作的中心,我们非常关注漏洞生态系统的现状。

要全面了解漏洞生态系统,就必须考虑漏洞研究与披露的发展和趋势。人们对这一领域已有深入研究,许多供应商和行业组织定期在 Common Vulnerabilities and Exposures (CVE) 和国家漏洞数据库 (NVD) 中发表相关的趋势评论。通过了解漏洞和常见弱点的多样性、增长和演变,我们可以得知可能存在哪些风险,但仅限于描述性的信息。CVE 和 NVD 只能告诉您理论上(而非实际上)存在哪些漏洞,无法提供实时的活跃漏洞数量。

要了解实际上存在哪些漏洞,您需要掌握最终用户行为和遥测数据,而这正是 Tenable Research 的独特之处。我们知道实时的漏洞数量。自 1999 年起总共公布了 107,710 个不同 CVE,其中有 22,625 (23%) 实际存在于企业环境中。这是真实的漏洞生态系统。其他漏洞已经灭绝,或者隐藏在数字世界的“沃斯托克湖”中。

我们看到漏洞的相对数量和绝对数量持续攀升。2017 年总计公布了 15,038 个新漏洞,相比 2016 年的 9,837 个增长 53%。对比 2018 年上半年和 2017 年上半年,我们预计今年新漏洞将增长 27%,达到 18,000 到 19,000 个。但就现实而言,我们的预计还可能有些保守。

有效的威胁和漏洞管理目前取决于规模和复杂性、数量和速度,即分散、移动且异构化的网络与用户的规模和复杂性,所产生漏洞的数量,以及在通常环境中披露和恶意利用新漏洞的速度。而这比以往任何时候都更需要切实可行的情报。在 Tenable Research,我们同样需要这种情报,因此我们言出必行。我们专门编制了一份漏洞态势报告。为了实现全面披露和情报共享,我们乐意将这份报告分享在我们的社区。

您可以在此处获取报告副本。与此同时,我想讨论在 Tenable Research 我们注意到的三个问题:

CVSSv3 加重了优先级排序问题

CVSSv3 于 2015 年推出,除了其他变更外,其旨在解决 CVSSv2 在评估漏洞影响方面存在的一些限制。虽然较早的漏洞很少经过 CVSSv3 评分,但自 2016 年往后,大多数漏洞都开始接受 CVSSv3 评分。自 CVSSv3 发布以来,陆续有实地反馈和第三方报告指出该版本存在一定的问题。我们自己的分析也证实了这一点,显示 CVSSv3 将大多数漏洞评定为高危和严重漏洞。

如图 1 所示,CVSSv2 将 31% 的 CVE 评为高危级别,而 CVSSv3 将 60% 的 CVE 评为高危或严重等级。

单独使用时,CVSSv3 并未解决优先级排序挑战,反而加重了问题。这不能解释成支持使用 CVSSv2,因为采用 CVSSv3 的根本原因仍然存在,那就是 CVSSv2 无法可靠反映一个漏洞对其他系统组件构成的风险。

Tenable 漏洞态势报告 - CVE 总体情况 - CVSS 严重性分布

图 1:CVE 总体情况 - CVSS 严重性分布

旧版漏洞仍会构成残余风险

在报告的第二部分,我们通过分析 2018 年 3 月至 8 月期间所开展的 900,000 余项评估扫描数据,探讨了漏洞被利用率,此处是指企业环境中实际存在的漏洞。我们还深入调查了漏洞利用工具及其他客户端攻击中所包含的网页浏览器和应用程序漏洞。我们注意到了什么呢?企业正在检测的许多漏洞都存在于淘汰或旧版软件中。

图 2 清晰地显示出 2012 年至 2017 年 Firefox 漏洞的集中情况,峰值出现在 2015 年。Firefox 的网页浏览器市场份额刚过 10%,但在我们数据集的所有高严重性漏洞中占据的比例却高达 53%。而这些 Firefox 漏洞并未得到修复。

图 2:企业环境中流行的不同高严重性网页浏览器 CVE

如图 3 所示,Microsoft Office 和 Oracle Java 也存在类似的现象。

图 3:企业环境中流行的不同高严重性应用程序 CVE

企业可能出于合理的业务考量而保留旧版系统和软件。尤其是,众所周知 Java 的版本依赖性造成了不少挑战。在这些情况中,可以分割易受攻击的系统,甚至在虚拟系统上安装软件并仅按需启动。而在没有合理业务原因的情况下,这些应用程序则归为可避免的残余风险。

可利用性不足以用作一项优先级排序标准

当一个漏洞被首次发现时,它是个假设风险。发布一次漏洞利用后,如果它出现在您的系统上,则会变成一个潜在风险。我们的研究显示 2017 年披露的漏洞中有 7% 属于公开可利用的漏洞。而这仍给企业留下多达 751 个漏洞需要进行优先级排序,比单单使用 CVSSv3 检测需要进行优先级排序的漏洞数量要少。此方案为企业检测出 8,120 个(占比 54%)CVSSv3 评分达 7.0 或以上的漏洞需要进行优先级排序。即便缩小范围,仅统计 CVSSv3 评分 9.0 到 10 的“严重”漏洞,也有 1,804 个漏洞 (12%)。

大多数最终用户可在其 VA 解决方案中获取此信息,而且可通过将可利用性数据和检测到的漏洞相关联,而实现自动操作化。

对我们数据集内的 609 个不同高危级别漏洞进行分析后,我们发现大多数缺失的安全更新修复了可公开利用的漏洞。如图 4 所示,用于解决高危级别 Adobe Flash 漏洞并在企业环境中被检测为缺失的安全更新中有高达 79% 可公开利用。而对于 Adobe PDF,这一数字为 96%。考虑到互联网上支持 Flash 的内容急剧减少,并且自 2020 年起将不再受支持,继续安装 Flash 的价值微乎其微。但是,它却潜藏着巨大的残余风险。在缺失安全更新(用于解决数据集内可公开利用的漏洞)的所有应用程序组中,这一比例最低为 41%。

图 4:用于解决高严重性 Adobe Flash 漏洞的缺失安全更新中有高达 79% 可公开利用

考虑到在评估漏洞是否构成严重风险过程中,可利用性是如此有用的依据,以及该信息的广泛可用性,这一发现令我们感到震惊。无疑,我们需要提高社区采用这一简单且高效的优先级排序方法的意识。

这些只是引起我们注意的三个主要发现。您可以点击此处阅读报告全文。

了解详情

订阅 Tenable 博客

订阅
免费试用 立即购买

选择 Tenable.io

免费试用 60 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册。

立即购买 Tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65资产

$2,275.00

立即购买

免费试用 立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年许可证,为您节省更多

免费试用 立即购买

试用 Tenable.io Web Application Scanning

免费试用 60 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 FQDN

$3,578.00

立即购买

免费试用 联系销售人员

试用 Tenable.io Container Security

免费试用 60 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

了解有关 Industrial Security 的详情

获取 Tenable.sc 演示

请将您的联系方式填写在下方表格中,我们的销售代表很快与您联系安排演示。您也可以写下简短评论(不得超过 255 个字符)。请注意,带星号 (*) 的字段为必填项。