Redscan在2021年1月的一项分析中发现,2020年披露的安全漏洞比任何其他年份都多——平均每天50个。Verizon2020数据泄露调查报告(DBIR) 对未修补的漏洞做出了重要观察:"Web 应用程序基础设施中的未修补漏洞可能导致有人使用一组工具以自动化方式利用这些漏洞。
随着常见漏洞和暴露 (CVE) 数量持续快速增长,它们给各地的组织带来了严重的安全问题。截至2021年9月,NIST的国家漏洞数据库(NVD)中有超过170,000个案例。虽然这本身就是一个令人担忧的事实,但组织面临的最关键挑战之一是,其安全团队无法修补扫描中发现的所有漏洞。
扫描和外部漏洞数据库(如 NVD)的漏洞数据无疑很有用,但是它们并不能全面反映组织中存在的实际风险。如果有的话,这些来源只提供了一个起点,以了解风险状况和尽量减少风险。
漏洞情报的用武之地
来自各种来源的漏洞情报可以帮助安全团队识别、优先排序和解决最有可能被威胁行为者利用的漏洞。它使他们能够将有限的资源集中在修复最破碎且最有可能导致问题的内容上,可帮助人们就漏洞、补救和事件响应的优先级做出明智的决定。
漏洞和漏洞情报区别是什么?
在现代 IT 网络安全环境中,威胁、漏洞和风险等术语通常可互换使用。然而,它们实际上非常独特。
威胁、漏洞、风险区别是什么?
威胁(或网络威胁)是指可能损害系统、网络或整个企业的事件。因此,病毒、恶意软件和间谍软件是威胁,不满或粗心的员工、不愉快的前雇员和自然灾害也是如此。
漏洞是已知资产中的弱点,威胁行为者可以利用该漏洞对该资产或组织发动成功的网络攻击。风险是指当威胁利用漏洞时,可能造成的损害(或损失)。
风险可能是财务、运营、交易、声誉或法律风险。为了不断保护 IT 系统和企业免受威胁行为者的威胁,并最大限度地降低它们构成的风险,必须尽快发现并关闭漏洞。为此,漏洞扫描和漏洞情报至关重要。
漏洞情报是什么?
漏洞情报是一种威胁情报。它侧重于查找、聚合、优先级和传播有关代表组织实际风险的漏洞的最新或实时信息。
基于风险的漏洞管理和漏洞情报关系
Gartner已指定基于风险的漏洞管理 (RBVM) 为 2020-2021 年十大安全项目之一。RBVM 方法不是修补所有内容,而是关注实际可利用的漏洞。为此,分析内部资产和攻击者活动以及威胁情报馈送(特别是漏洞情报)是关键驱动因素。
RBVM 做 NIST的常见漏洞评分系统(CVSS)做不到的。CVSS 评分可帮助组织确定漏洞的优先级。然而,它并没有明确区分理论风险和实际风险,这限制了其在现实世界中的效用。此外,它更注重可利用性,而不是剥削,提供静态基础分数,不提供相关的业务环境,也不考虑漏洞之间的关系。出于所有这些原因,要实现 RBVM,漏洞情报至关重要。
漏洞情报的价值是什么?
为每个漏洞提供风险评分
有效的漏洞情报不仅能揭示有关漏洞的信息。相反,它超越了几个步骤,为数字足迹中的每个漏洞提供风险评分。这些分数基于实时开发证据,并基于实际利用进行调整。安全和 IT 团队可以利用这些信息来精确定位最严重的风险,在补丁演变为漏洞之前确定修补程序的优先级,并减轻关键风险。最佳漏洞情报平台将强大的遥测与深度机器学习相结合,为安全人员改善威胁和风险优先级提供背景。
可帮助组织即时识别任何设备、服务、组件、代码、框架或应用上的关键漏洞
通过漏洞情报,组织可以即时识别任何设备、服务、组件、代码、框架或应用上的关键漏洞。他们甚至可以识别供应商和其他第三方的漏洞和漏洞。更重要的是,他们可以对漏洞进行分类和优先级排序,以最大限度地减少攻击面的大小,并防止攻击。无需持续进行高价扫描,因为此智能可按需获取。
可自动发现可发现整个攻击表面的隐藏漏洞
更新的全面漏洞情报可实时洞察威胁行为人的行为,以便安全团队能够更好地了解他们针对某些漏洞的原因和方式,而忽略其他漏洞。自动发现可发现整个攻击表面的隐藏漏洞,甚至是早期漏洞,提供基于风险的优先级,提高警报,并帮助加快补救速度。
使安全人员能够专注于最关键的"立即修补或很快引发麻烦"漏洞
最后但并非最不重要的一点是,漏洞情报馈送使安全人员能够专注于最关键的"立即修补或很快引发麻烦"漏洞,同时简化工作流程、提高团队效率、防止浪费精力和减少停机时间。
结论
漏洞情报是评估组织漏洞和分析其威胁情况的一种完全不同的方法。这不仅仅是关于信息 ,分数,统计, 等等 - 关于这些信息的背景。
通过利用实时、上下文的漏洞情报,安全团队可以更深入地了解组织在威胁、漏洞和风险方面的立场。他们可以自动化漏洞管理,加快事件响应,并监控其 IT 生态系统,以提高其弹性和安全态势。
随着全球威胁格局规模的扩大,IT 安全团队需要他们能够得到的所有帮助,以领先于不良行为者。老式的扫描工具在揭示漏洞方面尽职尽其能,但组织无法跟上所有这些漏洞。他们需要一种更智能的方法来确定最关键漏洞的优先级,并更好地保护自己。漏洞情报已经证明了其价值。在未来几年中,它将成为安全管理器工具箱中更为关键的元素。
转载翻译自:https://touchstonesecurity.com/vulnerability-intelligence/#