低复杂性cves一个日益令人担忧
根据一份报告,易于利用的普通漏洞和曝光漏洞和曝光或CVES,或CVES,或CVES,似乎是披露错误总量的比例,即网络安全团队的概率。
管理检测,响应和笔测试专家Redscan分析了超过18,000只CVES,在2020年的课程中,在美国国家标准和技术(NIST)国家漏洞数据库(NVD)中提交。
报告,NIST安全漏洞趋势在2020年:一个分析,透露,在2020年汇总的山沟不仅比其他一年迄今为止 - 18,103或每天平均50天 - 10,342(57%)被归类为危重或高度严重程度。报告称,63%的复杂性低,其中68%无需用户互动剥削。
Redscan表示,这种趋势应该是捍卫者的关注,突出了组织在补丁管理努力中对组织的需求零,并采用更先进的脆弱性管理方法。
“在分析漏洞姿势的潜在风险时,组织必须考虑不仅仅是他们的严重性得分。许多CVES永远不会在现实世界中剥削,因为它们太复杂或需要攻击者可以获得高级特权,“Redscan威胁情报头George Glass说。
“低估了似乎低风险漏洞可以让组织开放给”链接“,其中攻击者从一个漏洞移动到另一个漏洞,以逐步获得在越来越关键的阶段,”他说。
根据玻璃,复杂性是在评估风险漏洞姿势时考虑的更重要方面之一,以及野外剥削的时间框架。他解释说,低复杂性CVES,为快速,大规模剥削,因为攻击者无需考虑扩大因素或攻击路径问题。
一旦利用代码过滤器进入公共领域和低技能恶意演员,事情就会变得更加问题。
此外,低复杂性漏洞的普遍率为更高度熟练的网络犯罪分子leeway为未来,有针对性的攻击来节省他们的高度复杂性零天,而不是立即燃烧它们。
这在积极方面表示,Redscan观察到CVES的减少,不需要利用升高的特权,从2016年总数的71%到去年的58%。身体和相邻漏洞中也有一穗,可以作为整体的积极发展,因为它可能反映了对传感器和其他智能设备的互联网的更严格的测试。
“NIST NVD的分析为安全部队提供了混合的前景,”玻璃杯。“漏洞正在上升,包括一些最危险的变种。但是,我们看到了更积极的迹象,包括漏洞的百分比下降,这些百分比不需要利用用户权限。“
Redscan表示,2021的趋势前景看起来大致相似,恶意演员越来越击中被视为软目标的组织,例如未能修补边缘网络套件的组织。披露的漏洞的数量也将继续增加。
该公司分享了一些指示如何采用更多层漏洞管理的多层方法,建议安全团队按月进行内部和外部漏洞评估;利用开源威胁情报;投资渗透测试;密切监控网络和终点;对P Out潜在的攻击路径进行桌面威胁建模练习;并正式化和测试事件响应程序。