如何使用冲程体积来管理威胁之前,NVD出版吗

成立的冲程体积分数如何帮助用户管理新披露的漏洞,甚至在他们发表在国家漏洞数据库(NVD) ?让我们找出答案。

今年4月,我们发表了一篇博客文章如何脆弱性优先级评级(冲程体积)被用来帮助优先考虑在2019年最危险的cf。的许多漏洞覆盖后老但更新漏洞不应该被忽视。我们的研究显示,许多漏洞的目标威胁演员公开披露后不久。在零日的情况下,他们有针对性的在公众之前通知。这个博客将讨论如何使用冲程体积优先漏洞之前出版的国家漏洞数据库(NVD)。

NVD CVE漏洞

NVD是漏洞库组成的数据库实现方面的安全内容自动化协议(SCAP),如:常见的漏洞和风险敞口(CVE);通用平台枚举(CPE);常见的配置枚举(CCE);和普通危险得分系统(CVSS)。这是一个漏洞信息的主要来源网络安全从业人员和研究人员。

图1中的屏幕截图显示了一个典型的CVE条目页面显示CVE ID,一个简短的描述脆弱性影响的外部引用,通常提供的CVE编号当局(中央社)。其他信息可以包括CVSS指标(v2和v3),常见的弱点枚举CPE (CWE)和受影响的产品配置。

图1所示。NVD页面的截图

通常,CNA CVE ID分配给发现漏洞。随后,CNA将开始准备信息发布NVD——影响分析,描述的脆弱性,分配一个CVSS向量,等等。完成CVE条目发送到横切CVE NVD团队发表。在平行,该漏洞可能已经披露CNA的安全顾问委员会。

pre-NVD差距是什么?

由于上述过程,CVE发布工作流可能会导致延迟之间的首次公开披露NVD脆弱性和出版。NVD承认存在这种滞后和指出:

“创建日期条目”日期在CVE条目表明当CVE ID发出CVE编号权威(CNA)或CVE CVE发布的条目列表。这个日期不表明当漏洞被发现,与受影响的供应商,在CVE公开披露,或更新。

在这篇文章的其余部分我们将公开披露的时间差距NVD是脆弱和出版pre-NVD差距。让我们用cve - 2019 - 17026为例,得到一个更具体的想法pre-NVD差距:

• cve - 2019 - 17026是首次报道Mozilla安全咨询2020年1月8日
• 然后发布到NVD 3月2日,2020年
• 两天后,3月4日,2020年,它收到了CVSS指标

在这个例子cve - 2019 - 17026的pre-NVD差距从1月8日到3月2日——一个55 pre-NVD差距。

近年来许多cf经历了大pre-NVD缺口

pre-NVD差距不是罕见的cf - 71000 cf中首次披露供应商安全警告NVD出版之前,占一半的cf。2019年、5300年cf pre-NVD差距。

图2。每年的数量pre-NVD cf爆发自2006年以来通过pre-NVD差距大小

虽然pre-NVD差距cf落在可以接受的范围内的一天,我们的研究表明,这种差距是许多其他更大的漏洞。图2显示了数量的年度pre-NVD cf自2006年以来,爆发间隙尺寸。请注意这个词pre-NVD CVE本博客引用中使用cf, pre-NVD在其生命周期中(并且仍有可能)。

这个图表告诉我们几件事情:

• 的年度数量pre-NVD cf自2013年以来一直稳定在5000左右。有2017年激增导致最高的年度pre-NVD CVE的数量在8100年。从那时起,这个数字已经下降到5200年的2019人。这表明,必须在出版cf近年来变得更敏捷。
• pre-NVD差距大小的分布已经成为近年来更多的极化。几乎一半的年度pre-NVD cf的七天内发表在NVD首次披露,而很大一部分发表了至少30天。作为网络安全的专业人员,我们需要注意cf和大型pre-NVD差距可以产生不利影响的网络曝光。

NVD出版之前威胁活动

当然,攻击者不要等到CVE NVD开始之前发表了针对开发。如果我们交叉引用威胁情报数据pre-NVD cf,我们发现5400 43000 cf(12%)在2017年和2019年出版NVD出版之前与威胁有关的活动。

图3显示了一个崩溃的cf,出版年,pre-NVD威胁窗口(即天之间的第一个已知的威胁,NVD出版)。大部分这些cf受到威胁至少30天前NVD出版。因此,任何系统影响这些漏洞会暴露威胁NVD脆弱性信息之前已经提供。

图3。的cf pre-NVD威胁自2017年以来,gap pre-NVD爆发的威胁

如何优化pre-NVD漏洞修复使用冲程体积

永远不会太早解决漏洞受到威胁。前面几节表明,NVD不是最敏感的信息来源为主动管理漏洞。站得住脚的解决了这个问题通过使用脆弱性数据直接从安全警告100 +主要供应商,和这个数字仍在增加。

延长冲程体积得分pre-NVD漏洞是不平凡的。作为讨论的这个博客系列的第一部分,冲程体积是由两个主要部分:影响和威胁。因为许多CNAs不提供CVSS指标在其pre-NVD漏洞阶段,冲程体积分数的影响并不总是可用的。因此,冲程体积结合机器学习和自然语言处理(NLP)方法来预测CVSS cf原始文本描述的影响指标。这种方法将更详细地讨论在以后的博文。

2019年8月,站得住脚的宣布pre-NVD漏洞是现在得分的冲程体积模型。总共有12073漏洞已出版2019年8月以来,1592人pre-NVD在某种程度上公开披露。图4比较了冲程体积差距,即之间的时间CVE公开披露和冲程体积分配,pre-NVD差距。冲程体积是,一般来说,反应比NVD得分新漏洞。例如:

• 所有1592个漏洞NVD出版之前收到一个冲程体积分数
• 84%的pre-NVD漏洞被冲程体积分数在24小时内,NVD比例为38%
• 499漏洞发布在NVD超过7天,而只有101漏洞获得冲程体积分数超过七天
• 245漏洞发布在NVD超过30天

漏洞的数量与冲程体积差距将进一步减少站得住脚的不断消费漏洞更多供应商的安全警告。

图4。比较冲程体积与pre-NVD出版差距差距,打破缺口大小

图5显示了冲程体积分数的分布分配给1592 pre-NVD cf在pre-NVD阶段。我们看到,98年评为冲程体积是关键,其中83与pre-NVD威胁有关。这意味着冲程体积使组织有机会减少他们的攻击表面修正这些新披露的漏洞是在野外目标。漏洞与pre-NVD威胁增加的比例符合冲程体积临界水平——85%的冲程体积相关关键漏洞pre-NVD威胁,冲程体积中冲程体积高50%和25%。这是符合的这个博客系列的第一部分。

图5。冲程体积分数分布的1592漏洞pre-NVD阶段

案例研究:cve - 2019 - 17026

本节将使用cve - 2019 - 17026作为一个例子来说明如何利用冲程体积pre-NVD漏洞。让我们看一下事件的时间表:

• 2020年1月8日:cve - 2019 - 17026首次发布于Mozilla的安全顾问。在相同的安全顾问,Mozilla宣布在野外意识到这个漏洞被利用。站得住脚的发表这种脆弱性的分析后披露。同日,站得住脚的插件发布132714年和132715年检测影响Firefox漏洞在Windows和插件132712年和132713年MacOS x他们发表一个冲程体积分数为9.7因为漏洞被利用在有针对性的攻击。
• 2020年1月8日至3月1日在pre-NVD阶段:威胁的程度增加的脆弱性。利用这个漏洞的多个讨论和研究观察跨各种来源,包括Twitter、地下论坛、黑暗的网站和技术博客。这把冲程体积分数9.9 NVD出版之前最高峰值。
• 2020年3月2日:NVD cve - 2019 - 17026年出版两天后,分析了导致CVSSv3得分8.8。
• 2020年3月3日和之后:这个漏洞的威胁NVD出版以来仍然很高。更多的威胁事件被检测到在各种来源,包括主流媒体,Twitter,黑暗的Web站点,粘贴网站等等。今年4月,透露,这个漏洞被利用先进的持续威胁(APT)命名DarkHotel,针对中国和日本。这个脆弱的冲程体积发表的时候仍然至关重要。

关键的外卖

在这个博客中,我们已经表明,它并不少见的脆弱性被威胁目标NVD演员之前出版。鉴于出版延误可能发生,安全从业者需要谨慎使用NVD作为一个脆弱的事实来源信息。我们表明,冲程体积率新漏洞及时——84%的新漏洞被冲程体积分在一天的公开披露,93%是第一周内得分。我们还演示了如何利用冲程体积减少的攻击表面医治pre-NVD漏洞在积极开发。

确认

特别感谢扩展到布莱恩·多伊尔,数据科学家经理,高级产品营销经理,凯文•弗林苏珊•Nunziata高级主任编辑和内容,和马修国王,营销经理,审查本博客和贡献许多伟大的想法。

获得更多的信息

• 现在开始你的免费试用在行动——在看到冲程体积Tenable.io(in the cloud)和站得住脚的。sc(本地)
• 了解更多关于站得住脚的预测优先级和冲程体积