漏洞情报报告：以威胁为中心的优先级分析方案

Tenable Research 致力于为企业提供所需的实际数据，帮助企业采用以威胁为中心的漏洞管理方法。

到目前为止，仍然很难真正洞察有关 Cyber Exposure 的真实状况，也就是防御者如何采取实际行动，而非其所思所云。

新发布的漏洞态势报告概述了当前的漏洞披露趋势，并深入解析企业环境下有关漏洞的实际统计数据。此报告根据受影响企业的数量分析通常环境中的漏洞被利用率，以突显安全从业人员正在实际应付的漏洞，而非空谈理论。

鉴于企业环境中检测到的所有漏洞中有高达 61% 被评定为高危级别，网络安全团队急需确定哪些漏洞会真正构成风险，并优先处理最危急的漏洞，从而最大限度利用有限的修复资源。如果所有问题都很紧急，分类的意义将无从谈起。

良好的优先级排序至关重要

要进行优先级排序，企业首先需要更好地了解漏洞的实际影响，而非理论影响。作为一项优先级排序指标，CVSS 存在缺陷。由于将大多数漏洞归类为“高危”或“严重”严重性，它在规模和数量方面缺乏足够的细粒度。从 CVSSv2 向 CVSSv3 的转变只会增加问题的严重性，因为大多数漏洞目前都登记为“高危”或“严重”。

常识告诉我们，如果不将事项划分轻重缓急，则注定一事无成，因此我们需要一种更好的优先级排序方法。这种洞察力需要考虑环境，例如威胁情报，如此一来，企业才能根据“通常环境中”的实际威胁对漏洞进行优先级排序。

Tenable Research 准备在此漏洞态势报告中提供这种洞察力。

此报告根据单日受影响企业的最大数量分析漏洞流行率，以突显安全从业人员每天在着力应对的漏洞。

平均而言，一家企业每一天在 960 项资产中会发现 870 个 CVE 漏洞。这意味着基于仅修复高严重性 CVE 的优先级排序方法，每天仍会给一般企业留下超过 548 个漏洞需要进行评估和优先级排序，而这些漏洞通常位于多个系统之上。

这意味着基于仅修复严重 CVE 的优先级分析方法，每天仍会给一般企业留下上百个漏洞需要按照补丁进行优先级分析，而这些漏洞通常位于多个系统之上。让问题更加严重的是，这些漏洞并未归类为“严重”（即 CVSS 评分低于 9），而这会造成灾难性的影响，例如 WannaCry 就是利用评分低于 9.0 的一个漏洞（该漏洞评分为 8.5）。

该研究证明，管理漏洞从规模、速度和数量上来看都可谓一项艰难的挑战。这不仅是工程技术层面的困难，还需要以威胁为中心的视角，针对成千上万个乍看没有任何不同的漏洞，排出优先顺序。

报告中包含前 20 大漏洞排行榜单 – 深入解析企业中不同技术资产上存在的最流行的漏洞。该榜单依据实际遥测数据，揭示企业环境中实际存在哪些漏洞，并且随后会构成极大真实风险。利用此信息，企业可以清晰地认识到，他们需要着重关注哪些漏洞。

主要发现

• 漏洞数量越来越庞大 – 2017 年总计公布了 15038 个新漏洞，相比 2016 年的 9837 个增长 53%。2018 年追踪到 18000-19000 个新漏洞。企业在其环境中发现的漏洞有三分之二 (61%) 具有 CVSSv2 高危严重性 (7.0-10.0)。
• 但真正构成问题的并不多 - 其中仅 7% 的漏洞属于公开漏洞。事实上多数漏洞从未发展成有用的漏洞，其中会遭到威胁发动者利用并作为武器部署使用的更是少之又少。找出并修复这 7% 对于改善企业的 Cyber Exposure 至关重要。

根据当前预测，在 2018 年将发布超过 1500 个可利用漏洞，相当于每周发布超过 28 个可利用漏洞。因此，良好的洞察力不可或缺，而非“可有可无”。点击此处下载漏洞态势报告，获取您所需的洞察分析，着手构建基于风险的优先级排序方法。

了解详情：

• 下载漏洞态势报告。
• 阅读电子书：如何对网络安全风险进行优先级排序：首席信息安全官入门手册。
• 阅读我们的技术博客： 值得您关注的三大漏洞态势洞察力