Kenna Security更新反FUD分析报告,缓解安全漏洞焦虑情绪。
信息安全行业盛产关于软件漏洞的FUD(惧、惑、疑),也很是适应软件漏洞FUD满天飞的状态,但近期一份调查研究报告当众打脸FUD,揭示2019年披露的1.8万个CVE中仅不到500个遭到利用。
美国信息安全公司Kenna Security日前发布研究报告称,尽管当年有成千上万个漏洞获得CVE追踪编号,其中却仅有473个遭到可能影响公司企业的恶意利用。
也就是说,2019年报告的漏洞遭到恶意利用的概率仅2.6%,为业界评估联网公司面临的威胁规模提供了新的视角。
Kenna联合创始人兼首席技术官Ed Bellis向媒体透露,这份分析报告专注有可能影响其客户的那些CVE,473这个数字甚至能够进一步削减。即使该公司没有过滤这1.8万个CVE,比如说只分析影响企业软件的那些漏洞,漏洞披露数量与实际遭利用数量之间的对比也十分鲜明了。
Kenna Security的报告断言:“这473个漏洞中仅6%曾经达到过被超1/100的组织广泛利用的程度。漏洞利用程序‘在野’并不意味着就已经肆虐全网了。”
“纳入CVE列表发布之时,>50%(最终遭野生利用)的漏洞都已经存在漏洞利用代码了。但在防御者的不懈努力下,其中80%的CVE在披露之时就发布了补丁。”
漏洞就在那里,但一切都极其不安全,有时只有纯靠运气才能避免数据盗窃、拒绝服务攻击等等危险的观念,可能只是假相。真相令人意外!
CVE、CNA、CVSS,还能再C出几个缩写吗?
尽管并不完美,CVE也是广为接受的公共领域漏洞数量与严重性度量。过去几年,CVE编号机构(CNA)大量冒出,刺激了报告CVE数量的大幅增长。目前,超过150家组织机构有权分配CVE编号,虽然其中大多数不过是只负责自身产品的供应商(如英国当下只有三家CNA:Canonical、Snyk和Sophos,而这三家全部都是软件和信息安全供应商)。
学术界也质疑CVE评分的重复性和一致性,德国一家大学就正在进行关于通用漏洞评分系统(CVSS)的研究,主要分析不同人员分配评分产生迥异结果的原因和方式。
而且,CVE成因大不同。虽然围绕一波波漏洞的大多数FUD总是令人联想起恶人小组无情发现并利用漏洞执行进一步破坏,连信息安全人员都扛不住,但真相有时候没那么戏剧化。
本月早些时候,谷歌就生动演绎了什么叫不过是人为失误。其Project Zero抱怨垃圾安全补丁未能完全修复CVE披露的问题。两天后,谷歌Chromium验证了Project Zero抱怨的问题,是11月时未能恰当修复的一个老旧Chromium零日漏洞。
Kenna Security报告原文:
https://www.kennasecurity.com/resources/prioritization-to-prediction-reports/
数世精评:
漏洞虽多,但绝大部分没被利用意味着什么?好的一面来看,似乎不用再疲于奔命的打补丁。但坏的一面是,漏洞很多,恶意攻击者暂时用不着。也就是说,保留着随时发起攻击的可能性。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。