值得您关注的三大漏洞态势洞察

Tenable Research 今天发布的漏洞态势报告概述了当前的漏洞披露趋势，并深入洞悉企业环境下有关漏洞的实际统计数据。以下为此报告的三大要点。

鉴于漏洞是我们在 Tenable Research 一切工作的中心，我们非常关注漏洞生态系统的现状。

要全面了解漏洞生态系统，就必须考虑漏洞研究与披露的发展和趋势。人们对这一领域已有深入研究，许多供应商和行业组织定期在 Common Vulnerabilities and Exposures (CVE) 和国家漏洞数据库 (NVD) 中发表相关的趋势评论。通过了解漏洞和常见弱点的多样性、增长和演变，我们可以得知可能存在哪些风险，但仅限于描述性的信息。CVE 和 NVD 只能告诉您理论上（而非实际上）存在哪些漏洞，无法提供实时的活跃漏洞数量。

要了解实际上存在哪些漏洞，您需要掌握最终用户行为和遥测数据，而这正是 Tenable Research 的独特之处。我们知道实时的漏洞数量。自 1999 年起总共公布了 107,710 个不同 CVE，其中有 22,625 (23%) 实际存在于企业环境中。这是真实的漏洞生态系统。其他漏洞已经灭绝，或者隐藏在数字世界的“沃斯托克湖”中。

我们看到漏洞的相对数量和绝对数量持续攀升。2017 年总计公布了 15038 个新漏洞，相比 2016 年的 9837 个增长 53%。对比 2018 年上半年和 2017 年上半年，我们预计今年新漏洞将增长 27%，达到 18000 到 19000 个。但就现实而言，我们的预计还可能有些保守。

有效的威胁和漏洞管理目前取决于规模和复杂性、数量和速度，即分散、移动且异构化的网络与用户的规模和复杂性，所产生漏洞的数量，以及在通常环境中披露和恶意利用新漏洞的速度。而这比以往任何时候都更需要切实可行的情报。在 Tenable Research，我们同样需要这种情报，因此我们言出必行。我们专门编制了一份漏洞态势报告。为了实现全面披露和情报共享，我们乐意将这份报告分享在我们的社区。

您可以在此处获取报告副本。与此同时，我想讨论在 Tenable Research 我们注意到的三个问题：

CVSSv3 加重了优先级排序问题

CVSSv3 于 2015 年推出，除了其他变更外，其旨在解决 CVSSv2 在评估漏洞影响方面存在的一些限制。虽然较早的漏洞很少经过 CVSSv3 评分，但自 2016 年往后，大多数漏洞都开始接受 CVSSv3 评分。自 CVSSv3 发布以来，陆续有实地反馈和第三方报告指出该版本存在一定的问题。我们自己的分析也证实了这一点，显示 CVSSv3 将大多数漏洞评定为高危和严重漏洞。

如图 1 所示，CVSSv2 将 31% 的 CVE 评为高危级别，而 CVSSv3 将 60% 的 CVE 评为高危或严重等级。

单独使用时，CVSSv3 并未解决优先级排序挑战，反而加重了问题。这不能解释成支持使用 CVSSv2，因为采用 CVSSv3 的根本原因仍然存在，那就是 CVSSv2 无法可靠反映一个漏洞对其他系统组件构成的风险。

图 1：CVE 总体情况 - CVSS 严重性分布

旧版漏洞仍会构成残余风险

在报告的第二部分，我们通过分析 2018 年 3 月至 8 月期间所开展的 900,000 余项评估扫描数据，探讨了漏洞被利用率，此处是指企业环境中实际存在的漏洞。我们还深入调查了漏洞利用工具及其他客户端攻击中所包含的网页浏览器和应用程序漏洞。我们注意到了什么呢？企业正在检测的许多漏洞都存在于淘汰或旧版软件中。

图 2 清晰地显示出 2012 年至 2017 年 Firefox 漏洞的集中情况，峰值出现在 2015 年。Firefox 的网页浏览器市场份额刚过 10%，但在我们数据集的所有高严重性漏洞中占据的比例却高达 53%。而这些 Firefox 漏洞并未得到修复。

图 2：企业环境中流行的不同高严重性网页浏览器 CVE

如图 3 所示，Microsoft Office 和 Oracle Java 也存在类似的现象。

图 3：企业环境中流行的不同高严重性应用程序 CVE

企业可能出于合理的业务考量而保留旧版系统和软件。尤其是，众所周知 Java 的版本依赖性造成了不少挑战。在这些情况中，可以分割易受攻击的系统，甚至在虚拟系统上安装软件并仅按需启动。而在没有合理业务原因的情况下，这些应用程序则归为可避免的残余风险。

可利用性不足以用作一项优先级排序标准

当一个漏洞被首次发现时，它是个假设风险。发布一次漏洞利用后，如果它出现在您的系统上，则会变成一个潜在风险。我们的研究显示 2017 年披露的漏洞中有 7% 属于公开可利用的漏洞。而这仍给企业留下多达 751 个漏洞需要进行优先级排序，比单单使用 CVSSv3 检测需要进行优先级排序的漏洞数量要少。此方案为企业检测出 8120 个（占比 54%）CVSSv3 评分达 7.0 或以上的漏洞需要进行优先级排序。即便缩小范围，仅统计 CVSSv3 评分 9.0 到 10 的“严重”漏洞，也有 1804 个漏洞 (12%)。

大多数最终用户可在其 VA 解决方案中获取此信息，而且可通过将可利用性数据和检测到的漏洞相关联，而实现自动操作化。

对我们数据集内的 609 个不同高危级别漏洞进行分析后，我们发现大多数缺失的安全更新修复了可公开利用的漏洞。如图 4 所示，用于解决高危级别 Adobe Flash 漏洞并在企业环境中被检测为缺失的安全更新中有高达 79% 可公开利用。而对于 Adobe PDF，这一数字为 96%。考虑到互联网上支持 Flash 的内容急剧减少，并且自 2020 年起将不再受支持，继续安装 Flash 的价值微乎其微。但是，它却潜藏着巨大的残余风险。在缺失安全更新（用于解决数据集内可公开利用的漏洞）的所有应用程序组中，这一比例最低为 41%。

图 4：用于解决高严重性 Adobe Flash 漏洞的缺失安全更新中有高达 79% 可公开利用

考虑到在评估漏洞是否构成严重风险过程中，可利用性是如此有用的依据，以及该信息的广泛可用性，这一发现令我们感到震惊。无疑，我们需要提高社区采用这一简单且高效的优先级排序方法的意识。

这些只是引起我们注意的三个主要发现。您可以点击此处阅读报告全文。

了解详情：

• 下载漏洞态势报告。
• 阅读电子书：如何对网络安全风险进行优先级排序：首席信息安全官入门手册。
• 阅读我们的博客文章：漏洞情报报告：以威胁为中心的优先级分析方案。