Gartner:VPT技术原理 ——如何确定网络攻击面上的风险优先级
无论公司规模大小,您都永远没有足够的资源来解决网络攻击面上的每一个漏洞。确定优先级至关重要。
安全团队需要了解企业环境中的漏洞:
各种规模的组织都正被其网络中已经存在的大量漏洞所覆盖。而且,随着现代网络的扩大化和多样化,这个数字仍在飞速增长——这导致了一个不断扩展的、动态的攻击面。
负责安全的领导需要了解企业环境中的漏洞,并使用这些数据来确定其团队工作的优先级。
但是有一个问题:我们今天处理的漏洞比以往任何时候都多。事实上,漏洞的数量在过去几年里几乎增加了两倍【[ 来自Tenable研究报告]】。
传统的方法正在变得落后:
仅在2019年,就披露了17,313个新的漏洞。这意味着,安全团队平均每天都面临着47个新的漏洞。由于资源和时间的缺乏,他们需要一种简单的优先级判定方法来考虑优先要修复哪些漏洞。
许多组织正在使用传统的方法,如常见漏洞评分系统(CVSS)来尝试对修复漏洞进行优先级排序。大多数企业尝试修复所有高分和关键漏洞(CVSS得分7及以上)。有些企业可能会选择只集中关注关键漏洞(CVSS评分 为9分及以上)。
“CVSS旨在识别漏洞的技术严重性。相反,人们似乎想知道的是,漏洞或缺陷给他们带来的风险,或者是他们面对漏洞应该有如何的反应速度。——卡内基梅隆大学【[ 来自“Towards Improving CVSS”——卡内基梅隆大学软件工程研究所,2018年12月]】”
CVSS将太多的漏洞归类为高危漏洞和严重漏洞:
根据Tenable研究报告,56%的漏洞的CVSS评分为7或更高,因此被认为是高危或严重漏洞(见图1)。这意味着,对于每10万个漏洞,CVSS规定安全团队必须修复其中的5.6万个漏洞。因此,不难看出,如果使用CVSS,工作负荷就会迅速失控,尤其是考虑到大多数大型企业都有数百万个漏洞。
图1:CVSS将大多数漏洞评分为高漏洞或严重漏洞
更重要的是,CVSS是一种完全无效的漏洞修复优先级参考方法。这是因为CVSS是没有风险属性的。由于大多数CVSS分数是在漏洞发现后的两周内分配的,因此该分数仅理论性的参考了漏洞可能带来的风险。这会导致安全团队的大部分精力被浪费在错误的漏洞上。更糟糕的是,他们忽视了许多对业务构成直接威胁的关键漏洞。
CVSS是区分真实风险的一个较差的指标:
即使您的团队能够解决所有得分7分及以上的漏洞,目前也只有不到四分之一(24%)的可利用的漏洞(见图2)。换句话说,如果您使用CVSS7+的策略来确定风险管理工作的优先级,表示您正在浪费团队76%的时间去修复短期内几乎没有风险的漏洞。
图2:基于CVSS基本分数的可利用性分析
更糟糕的是,将近一半具有短期内可被利用性的漏洞(44%),CVSS基本得分低于7(见图2)。然而,基于CVSS7+的策略,您可能会完全忽略这些高风险漏洞。
攻击面正在扩大:
攻击面也在扩大,造成了一个被攻击者利用的缺口。除了传统的IT资产之外,现代攻击面也需要您考虑云环境和OT环境中的弱点。问题是,当攻击者正在扫描所有这些环境,以找到最简单的攻击方法时,传统的漏洞管理方法仅限于扫描传统IT环境,因此您永远不会发现云资产和OT资产中的任何弱点。
基于风险的漏洞管理方法是很有必要的:
基于风险的漏洞管理可以帮助安全团队在企业环境中处置漏洞。他们不能完全依赖于CVSS,而是可以将其与几十个基本的漏洞特征结合起来,以确定其严重性。然后,可以将所有这些数据与其他关键风险指标联系起来,包括受影响资产的严重程度、威胁和利用情报,以及对当前和未来可能发生的攻击者活动的评估。
此分析的结果可使安全团队能够集中关注最重要的漏洞和资产。他们不会把时间浪费在利用率低的漏洞上,而是可以解决对业务构成风险最大的问题。
将数据转化为决策:
有效确定每个漏洞对组织造成的风险级别所需的数据和分析量不能是由人类单独完成的,因此需要通过自动化来扩展此过程。
这种自动化甚至可以包括基于机器学习的技术,这些技术可以根据过去和当前关于该漏洞、资产和攻击者活动的信息,来预测在不久的将来该漏洞被利用的可能性。此分析将在几秒钟内为组织的每个漏洞获得风险分数,使安全团队能够首先关注最重要的问题。
利用科学的数据预测风险:
Tenable研究报告分析了11万个漏洞,以构建基于机器学习的模型,这是 Tenable.io(在云端)和Tenable.sc(在本地)固有的能力。预测优先级是基于漏洞被用于网络攻击的概率对漏洞进行评分。
该模型考虑了风险的150多个方面,包括来自这7个数据源的漏洞特征:
• 传统威胁方式
• CVSS
• 美国国家漏洞库
• 数据库
• 传统攻击
• 有漏洞的软件
• EXP
• 传统威胁来源
通过预测优先级,安全团队可以通过首先关注最有可能被利用的3%的漏洞,从而显著提高其修复效率和修复有效性。
文章内容译自Tenable: 《Whitepaper-How to Prioritize Risk Across the Cyberattack Surface》
Gartner:VPT技术原理 ——如何确定网络攻击面上的风险优先级相关推荐
- 新手入门贴:史上最全Web端即时通讯技术原理详解
前言 有关IM(InstantMessaging)聊天应用(如:微信,QQ).消息推送技术(如:现今移动端APP标配的消息推送模块)等即时通讯应用场景下,大多数都是桌面应用程序或者native应用较为 ...
- [转载]HTTP PUSH技术原理,结合ASP.NET实现以及评述
HTTP PUSH技术原理,结合ASP.NET实现以及评述 收藏 原文:http://blog.csdn.net/banmuhuangci/archive/2008/09/20/2955719.asp ...
- 新手入门:史上最全Web端即时通讯技术原理详解
前言 有关IM(InstantMessaging)聊天应用(如:微信,QQ).消息推送技术(如:现今移动端APP标配的消息推送模块)等即时通讯应用场景下,大多数都是桌面应用程序或者native应用较为 ...
- 计算机处理io和cpu,虚拟化技术原理(CPU、内存、IO)
虚拟化 云计算现在已经非常成熟了,而虚拟化是构建云计算基础架构不可或缺的关键技术之一. 云计算的云端系统, 其实质上就是一个大型的分布式系统. 虚拟化通过在一个物理平台上虚拟出更多的虚拟平台, 而其中 ...
- 基因测序技术发展历史及一、二、三代测序技术原理和应用
基因测序技术发展历史及一.二.三代测序技术原理和应用 红皇后学术 公众号:红皇后学术(ID: zzlphs2516) 已关注 125 人赞同了该文章 基因测序技术 基因测序技术也称作DNA测序技术,即 ...
- Qt+ffmpeg+x264远程协助软件Weekday技术原理及源码剖析
前言: 很久没有打理博客了.最近有点烦,teamviewer用的挺习惯的,突然不香了.虽然改用mstsc+加自己云服务器的方式也还行.但突然就萌发了为啥不自己试着写一个的想法.刚好项目空档几天,于是便 ...
- 信息安全-网络物理隔离技术原理与应用
一.网络物理隔离概述 1.1 网络物理隔离概念 物理隔离技术:既能满足内外网信息及数据交换需求,又能防止网络安全事件出现的安全技术 基本原理:是避免两台计算机之间直接的信息交换以及物理上的连通,以阻断 ...
- 信息安全-防火墙技术原理与应用
一.防火墙概述 1.1 防火墙概念 为了应对网络威胁,联网的机构或公司将自己的网络与公共的不可信任的网络进行隔离 方法:根据网络的安全信任程度和需要保护的对象,人为划分若干安全区域,包括: 公共外部网 ...
- 信息安全-入侵检测技术原理与应用
一.入侵检测概述 1.1 入侵检测概念 入侵应与受害目标相关联,该受害目标可以是一个大的系统或单个对象 判断与目标相关的操作是否为入侵的依据:对目标的操作是否超出了目标的安全策略范围 入侵:指违背访问 ...
- 外呼系统的四大技术原理,电销外呼系统常识
外呼系统的四大技术原理,市面上99%的电销外呼系统都基于此 前言介绍 一.AXB技术 二.回拨技术 三.号码池 四.呼叫转移 总结 前言介绍 本文将讲解外呼系统背后四大技术原理,看完本文,你将拥有分辨 ...
最新文章
- android栈和队列
- jsp学习之包含——include
- IP域名DNS网站登录过程
- 命令(CMD)终端的清屏(清除/清空)命令/快捷键
- char强制类型转换为int_C语言学习第5篇---类型转换概念理解
- 面试问题汇总 精选 分析 解答 职业规划 part 1
- dj鲜生-09-商品应用-首页的显示
- 计算机组成部分有cpu吗,计算机组成原理笔记——处理器(1)[未完]
- 南阳oj 814 又见拦截导弹
- 单片机学习05_单片机软件架构
- 智慧新泰时空大数据与云平台_智慧城市时空大数据与云平台建设技术大纲即将出台...
- 迷途视频解析HTML源码,抖音短视频无水印解析接口源码
- 特来电支付中心总体介绍
- xubuntu20.04安装记
- Invalid configuration of tez jars, tez.lib.uris is not defined in the configuration
- 【计算机毕业设计】课堂考勤微信小程序 基于微信小程序的课堂考勤管理系统
- 杰理之AI协议之CMD_SET_BLE_VISIBILITY命令格式【篇】
- flink中的时间属性
- 解析|当前企业OA系统面对的困难与解决方案
- Random随机生成几位数字和UUID随机生成几位字母加数字组合