思想的差距:仔细看看漏洞公布2022年

这是第三个系列研究四个部分之间的时间首次发现漏洞时,当它完全披露在国家漏洞数据库。在这一部分中,我们仔细看看漏洞公布2022年并讨论如何站得住脚的帮助。

有必要看看客观观察的结果,因为你,实验者,可能会喜欢一个结果比另一个理查德·p·费曼

有25080个漏洞透露,2022年比2021年增加了18.78%。这些,108(0.43%)接受了一个站得住脚的漏洞优先级评级(冲程体积)的关键,与3920年相比(15.63%),得到一个关键CVSS v3得分和8659年(34.53%)接受v3 CVSS分数很高。

漏洞的披露,2022年,295年(1.2%)被发现是可利用的在他们充分披露国家漏洞数据库(NVD)。

当攻击者可以将时间提前监控CVE警告的位置NVD,大多数时间紧张的网络安全从业者别无选择,只能依靠NVD脆弱性意识作为他们的主要来源。

为什么这很重要?因为之间的时间上首先分配一个CVE漏洞时斜方和分析和得分的时候NVD代表一个组织的关键盲点。攻击者监测报告寻找漏洞。这个盲点可以增加漏洞被利用的风险由攻击者在安全专家在一个组织甚至意识到这一点。

漏洞是如何评价:常见的漏洞和风险敞口(CVE)数量分配的CVE命名权限(CNA)脆弱性咨询时首次出版。CVE数据库是由斜方管理。CVE编号可以保留立即发布一个顾问,CNA必须提供漏洞细节前斜接缺陷可以评估和分配一个分数国家漏洞数据库(NVD)。它可以花费数周时间(或更长时间)从CVE细节提供给横切的时间NVD分析了CVE并提供详细信息,包括给它一个普通危险得分系统(CVSS)得分。之间的差距CVE公开时,出现在横切当CVE完全披露NVD为网络安全组织创建盲点。本研究分析这一差距如何在组织中增加网络安全的风险。

这个博客的目的,我们研究了漏洞公布1月至12月,2022年,评估时间漏洞之间的差距是首次出版NVD,当它完全披露。我们也探索历史趋势,讨论如何站得住脚的可以帮助安全队缩小差距。

我们分析了漏洞公布2022年基于以下标准(见术语表的详细信息,在每个):

• 有多少漏洞覆盖NVD站得住脚的产品被充分披露。
• 漏洞被排名为多少至关重要的或高由站得住脚的冲程体积之前在NVD充分披露。

我们开始于2022年Log4Shell的脆弱性,仍然头条过去十年的一个最严重的安全漏洞。今年剩下的时间没有让人失望,引进大量的其他重要的漏洞,包括Follina和ProxyNotShell。随着脆弱性景观继续发展,网络安全组织面对着一项艰巨的任务,收集准确的数据,分析作用于它,以降低风险。

站得住脚的研究致力于收集广泛的知识基础的脆弱性景观。团队发展广泛的见解和站得住脚的产品报告功能。我们的目标吗?帮助安全人员发现并修复漏洞,最重要的组织和及时。为此,本博客提供了:

• 统计时间和站得住脚的制定措施以填写关键的盲点。
• 仔细看看关键漏洞站得住脚的覆盖很多方面——从意识到优先报道——NVD之前。

2022 lookback:站得住脚的插件NVD之前报道

2022年与25080年新漏洞披露,我们看着几个指标站得住脚的插件覆盖优先级。站得住脚的意识到至少565公共利用这些漏洞,构成2.25%的已知漏洞剥削。站得住脚的插件提供覆盖41中提到的漏洞中钢协已知漏洞目录NVD之前他们完全披露。此外,站得住脚的提供插件NVD至少96年的漏洞之前,有一个可用的和观察到的利用(见图1),其中35个功能开发,15个高利用的可能性和46一个可用的概念验证(PoC)。

图1

利用成熟的崩溃

来源:站得住脚的研究,2023年4月

此外,如图2所示,在2022年,站得住脚的插件提供覆盖30漏洞,收到一个冲程体积评级的关键,684,收到一个冲程体积评级高和915,收到一个冲程体积评级中,所有的这些漏洞被NVD充分披露。此外,还有556 cf收到前方冲程体积分数低的NVD充分披露。

图2

冲程体积评级2022 cf

来源:站得住脚的研究,2023年1月

最后,但并非最不重要,成立安全响应团队(SRT)发布了326年网络曝光警报漏洞。

NVD前冲程体积覆盖

2022年,成立提供冲程体积分数为1801 NVD漏洞之前他们完全披露。31收到一个站得住脚的冲程体积分数的漏洞被提到的中钢协已知漏洞目录。此外,如图3所示,在2022年,成立了冲程体积分数之前,充分披露NVD至少66一个可用的和观察到的利用的漏洞,26的功能开发,其中10个高利用的可能性和30的有一个可用的概念验证(PoC)。据我们所知,1735年有一个未经证实的利用成熟。

图3

冲程体积覆盖之前,NVD充分披露

来源:站得住脚的研究,2023年4月

此外,如图4所示,站得住脚的冲程体积额定24 cf至关重要的,535年高和763一样媒介,所有的漏洞在NVD充分披露。此外,还有479 cf,收到了低在充分披露NVD冲程体积分数。

图4

站得住脚的冲程体积分数

来源:站得住脚的研究,2023年4月

最后,但并非最不重要,站得住脚的SRT发布150年网络曝光警报NVD前由冲程体积的漏洞。

25080漏洞的披露,2022年,108名(0.43%)被评为一个关键冲程体积分数。NVD漏洞发现之前的2022年(2000年至今),我们观察到以下当脆弱性之间的平均时间跨度时第一次公开引用的供应商和得分和详细国家漏洞数据库(见注):

• 45天的漏洞与关键冲程体积分数排名
• 71天的漏洞冲程体积分数高的排名
• 130天的漏洞与媒介冲程体积分数排名
• 148天的漏洞与低冲程体积分数排名

天我们观察到的最大数量的漏洞在每个类别是:

• 1749天的漏洞与关键冲程体积分数排名
• 5921天的漏洞冲程体积分数高的排名
• 5622天的漏洞与媒介冲程体积分数排名
• 6562天的漏洞与低冲程体积分数排名。

放大:CVE集锦

在本节中,我们首先分析两个值得注意的漏洞从2022年的差距。然后,我们提供一个快速展望漏洞最大的失误之间的站得住脚的研究和发现的时间NVD漏洞完全披露。

2022年两个值得注意的漏洞

我们检查了以下两个值得注意的名字在2022年出现漏洞:SpookySSL和心理特征。

SpookySSL cve - 2022 - 3786和cve - 2022 - 3602是两个缓冲区溢出漏洞影响OpenSSL和固定3.0.7 OpenSSL的发布版本。这两个漏洞了高冲程体积评级。 站得住脚的发现了第一块的情报cf 10月27日,2022年。漏洞完全披露细节NVD五天后,2022年11月1日。对于这些漏洞,最早Nessus插件提供了覆盖在同一天NVD。 更多细节,进一步指导参观cve - 2022 2022 - 3602 - 3786和cve - OpenSSL两个高严重漏洞补丁

精神上的签名 cve - 2022 - 21449,也被称为心理签名,是一个Java加密签名脆弱性影响Java 15、16、17、18岁。 站得住脚的发现了这个漏洞的第一条英特尔4月17日,2022年。脆弱性是完全披露NVD两天后,4月19日,2022年。对于这个漏洞,最早Nessus插件提供了覆盖在同一天NVD。 更多细节,进一步指导参观甲骨文公司221年4月2022个关键补丁更新地址cf。

关闭差距:风险管理如何帮助

我们喜欢认为如果爱因斯坦在这个时代的网络安全工作他就会说:

学习昨天,今天评估你的风险敞口,对明天充满希望。

评估和保障现代攻击表面取决于众多的条件影响今天的复杂和动态的环境。这些因素都需要被整体为了安全从业人员实施预防措施,有助于减少风险。

为此,实施风险管理计划是至关重要的。演员们不认为在筒仓的威胁。相反,他们寻找正确的漏洞,结合配置错误,身份会给他们访问他们需要满足他们的目标。

然而,大多数安全组织依赖于一个大杂烩孤立点的安全工具,不能有效地让他们获得一个包罗万象的攻击表面的照片。一个有效的风险管理计划要求拆除筒仓等技术脆弱性管理通过收集在一起,web应用程序安全、云安全、身份安全、攻击路径分析和外部攻击表面管理。只有在上下文中考虑所有这些因素,组织希望能理解的广度和深度曝光和采取必要的行动,减少他们通过修复和事件反应工作流。

关于思想的差距系列

这个由四部分组成思想的差距安全专家博客系列是一种宝贵的资源,概述了观察到的脆弱性景观重点漏洞站得住脚的研究发现之前出现在NVD的详细信息。本系列源于我们自己的数据集的分析,其中最广泛和丰富的数据集的行业。这些年来,我们收集了一个广泛的知识漏洞,沉浸与站得住脚的Research-specific见解和报告功能。

在本系列的其他博客:

• 思想的差距:等待NVD给您的组织带来风险
• 思想的差距:现有的脆弱性框架如何离开一个组织暴露
• 思想的差距:仔细看看八从2022年著名的cf

了解更多

• 下载2022年的威胁环境报告
• 阅读博客,风险管理:降低风险在现代攻击表面
• 查看网络研讨会,分析师圆桌会议:风险管理如何帮助你获得可见性、防止攻击,和风险沟通更好的决策