思想的差距:现有的脆弱性框架如何离开一个组织暴露
这是第二个系列研究四个部分之间的时间首次发现漏洞时,当它完全披露在国家漏洞数据库。在本文中,我们探讨共同的行业框架安全团队留下盲点,并讨论如何站得住脚的帮助。
知识不是依赖真理,也依赖错误。卡尔·荣格
每年,世界各地的网络安全团队面临新的冲击的脆弱性信息披露影响使用的软件和系统的组织。仅在2022年,超过25000的漏洞被披露,几乎比前一年增加20%。
组织的共同框架依赖评估漏洞和首先确定哪些划分优先级已经成为事实上的标准。但他们也安全专家留下重大盲点增加风险。
在这个博客中,我们检查这些盲点之一:当一个脆弱性之间的时间差距是首次发现,当它完全披露在国家漏洞数据库(NVD)。25000 +去年发现的漏洞,295被观察到的可采前NVD充分披露。
为什么这是一个问题吗?因为繁忙的网络安全专家依赖那些满NVD披露补救决策。但是攻击者不等待。他们就准备扑向一个漏洞是首次发现,离开组织与安全漏洞,可以从几天到几个月。
我们认为这些研究结果提供了有价值的背景下,网络安全从业者需要发展他们的脆弱性管理实践接受的以反应为视图扩大攻击范围。这是旅程的第一步在接受一个完整的风险管理计划。
的术语表
“NVD插件之前报道”是什么意思? |
“NVD插件之前报道”意味着站得住脚的产品提供覆盖之前(或当天)NVD CVE完全披露。 |
“NVD冲程体积之前报道”是什么意思? |
“NVD冲程体积之前报道”意味着站得住脚的产品提供了一个漏洞优先级评级(冲程体积)之前(或当天)NVD CVE完全披露。 |
为什么这些分类重要? |
插件覆盖率和冲程体积都是预防网络安全安全团队实践的关键工具。插件可以站得住脚的产品漏洞完全披露之前NVD提供安全团队的能力的差距,而冲程体积评分系统提供了一个替代方法网络安全团队可以使用优先修复漏洞。生成一个冲程体积分数对漏洞至关重要,尚未完全披露NVD和CVSS分数的缺乏。 |
安全专家是什么意思? |
快速反应 通过检查、披露和提供及时的检测工具和指导,站得住脚的研究使安全专家能够迅速应对代表他们的系统的最大风险的漏洞。 全面的情报 站得住脚的研究保持不断更新和丰富环境数据集的情报为我们的产品,使安全专家的最佳的客户体验。 积极的风险识别和修复 站得住脚的研究是不断分析漏洞评估风险组织以及提供积极的补救指导,确保安全专家的工具需要积极的和连续的基础上降低风险。 |
22年的站得住脚的插件NVD之前报道
我们分析了历史数据显示的全部范围的差距以及它如何影响通用软件在许多组织使用。在2000年1月1日,12月31日,2022年,成立了插件报道之前,NVD 32862漏洞,其中531尚未完全披露NVD(截至2022年12月31日)。
显示的全部范围覆盖缺口面临网络安全团队,我们也分析了16个软件供应商的产品通常用于许多大型组织。图1显示了cf /供应商的数量的成立提供了插件覆盖之前或当天漏洞完全披露NVD 1月期间,2000 - 2022年12月31日。在这些供应商中,我们发现有一个117天的平均延迟当脆弱性之间的首次被发现,当它在NVD充分披露。
图1
供应商 |
插件NVD之前报道 |
总插件覆盖 |
%的插件NVD之前发布 |
Avg延迟在天 |
Adobe |
278年 |
4271年 |
6.5% |
21 |
亚马逊 |
368年 |
5342年 |
6.9% |
161年 |
苹果 |
1047年 |
5842年 |
17.9% |
73年 |
CentOS |
392年 |
5972年 |
6.6% |
125年 |
思科 |
104年 |
2477年 |
4.2% |
177年 |
Debian |
578年 |
8288年 |
7% |
85年 |
谷歌 |
525年 |
3239年 |
16.2% |
35 |
IBM |
259年 |
1603年 |
16.2% |
154年 |
微软 |
394年 |
8597年 |
4.6% |
18 |
Mozilla |
76年 |
2593年 |
2.9% |
175年 |
甲骨文 |
1439年 |
13575年 |
10.6% |
173年 |
红色的帽子 |
1144年 |
12855年 |
8.9% |
124年 |
Slackware |
51 |
539年 |
9.5% |
298年 |
Solarwinds |
12 |
67年 |
18% |
69年 |
Suse Linux |
216年 |
3,5611 |
6.1% |
133年 |
VMWare |
49 |
535年 |
9.1% |
55 |
参考时间:2000年1月1日- 12月31日,2022年
来源:站得住脚的研究,2023年4月
在参考时期(2000 - 2022),前五大供应商的站得住脚的插件的最大百分比覆盖率的漏洞被充分披露NVD是:
- 苹果(17.4%)
- 谷歌(16.3%)
- IBM (16.2%)
- Solarwinds (12.9%)
- Slackware (11.0%)
在2022年,我们观察到以下(累积)资产:
- 15 +百万运行苹果软件
- 97 +百万资产运行谷歌软件
- 16 +百万资产运行IBM软件
- 500.000 +资产运行Solarwinds软件
关于思想的差距系列
这个由四部分组成思想的差距安全专家博客系列是一种宝贵的资源,概述了观察到的脆弱性景观重点漏洞站得住脚的研究发现之前出现在NVD的详细信息。本系列源于我们自己的数据集的分析,其中最广泛和丰富的数据集的行业。这些年来,我们收集了一个广泛的知识漏洞,沉浸与站得住脚的Research-specific见解和报告功能。
在本系列的其他博客:
了解更多
相关文章
成立2023年的夺旗:你准备好测试的黑客技能吗?
2023年7月26日,站得住脚的竞争带来的年度黑客黑帽2023在混合面对面和在线体验,让世界各地的竞争对手有机会获得乐趣和测试他们的技能。
发现罗克韦尔自动化艾伦-布拉德利通信模块受到cve - 2023 - 3595和cve - 2023 - 3596年的环境
2023年7月12日在工业环境中识别脆弱的系统可能很复杂。使用错误的工具,它将忽略影响设备。找出站得住脚的不安全是设计给你深入资产可见性来解决这些新的漏洞在不影响生产力。
微软的130年7月2023个星期二补丁地址cf (cve - 2023 - 36884)
2023年7月11日微软的130年7月2023个星期二补丁地址cf (cve - 2023 - 36884)微软地址130 cf包括5个在野外利用零日漏洞和指导m…
常见问题:SEC新网络安全规则对信息安全意味着领导人
2023年7月28日,7月26日,美国证券交易委员会投票3 - 2采用新规则将要求一些新的网络安全从上市公司披露的信息。Here&rsquo网络安全领导人需要知道的。
网络安全快照:证券交易委员会想要更多网络安全从上市公司透明度
2023年7月28日,找出在美国证券交易委员会(SEC)的新网络安全信息披露规则。另外,中钢协分析了网络风险影响关键基础设施的组织。同时,检查指导的影子和技巧来提高安全意识程序。和更多!
成立2023年的夺旗:你准备好测试的黑客技能吗?
2023年7月26日,站得住脚的竞争带来的年度黑客黑帽2023在混合面对面和在线体验,让世界各地的竞争对手有机会获得乐趣和测试他们的技能。
- 研究
- 基于风险的脆弱性管理