你还应该优先考虑利用工具包漏洞吗?

企业面临的最大挑战之一是优先修复漏洞。试图确定哪些漏洞构成真正的迫在眉睫的风险值得立即注意就像是此起彼伏的游戏由于大量关键的漏洞。

的分析CVE成立研究的卢卡斯Tamagna-Darr数据显示披露漏洞的数量同比平均增长了15%——超过12000独特的漏洞被添加到CVE仅在2017年!其中,在3500年被评为高或关键的严重性。这是平均每天近10。,形势正在变得越来越势不可挡,我们项目披露漏洞的总数在2018年将增长到超过15000。

战略修复优先级——知道哪些漏洞带来的最大风险

战略漏洞修复优先级的目标是识别漏洞构成一个组织的最大实际风险。许多组织依靠普通危险得分系统(CVSS)优先。但是,这个收益率太多的“关键”漏洞对于大多数组织切实纠正或减轻由于时间和资源。CVSS通常很好地评估特定的漏洞造成的风险。但是,它无法识别哪些漏洞代表一个真正的风险到一个特定的组织。

范例——网络风险管理转变

态势感知是一个有效的修复优先级策略的必要组成部分。这种方法有时被称为threat-centric,实施adversary-focused脆弱性管理。

站得住脚的,我们称之为网络曝光。网络接触学科关注的漏洞正在积极被恶意软件利用在野外,ransomware、利用包(的)和威胁的演员,因此最有可能导致实际的数据泄露。理想情况下,资产的业务临界和上下文也充分评估你的相关网络曝光。目标是过滤器的总量关键漏洞数量可控的优点直接修复的优先级。

所以,态势感知成为关键。我们必须考虑到对手的活动在野外和实际战术、技术和程序(ttp)。让我们停止看漏洞在隔离和“所有条件都相同的情况。“我们应该看看潜在威胁及其相关漏洞识别哪些随后代表最大的风险。,你需要评估威胁自己,确定他们是否应该在你的“观察名单”。

利用包一直是一个突出的潜在威胁企业在过去的十年中,目标毫无戒心的用户通过感染通过妥协与恶意软件的网站。在过去的一年中,积极EK部署——及其发展网络罪犯——下降了。所以,让我们看一看的和他们目标仍然是一个关键的漏洞,真实的风险,需要先优先修复。

利用工具是什么?

利用工具用于在一个网站中嵌入恶意代码。他们提供预包装利用目标应用补丁的浏览器和应用程序。有一个繁荣的商业市场提供的。和许多很容易使用,甚至更少的技术网络罪犯。通常的目标客户端漏洞。

绝大多数的攻击,在他们不知情的情况下使用的感染目标主要通过两种方法:

投机取巧drive-by-exploitation

Cyberattackers web服务器部署EK会利用脆弱。他们在网站中嵌入恶意代码,它可以感染任何访客启用了一个脆弱的web浏览器或库和插件。

有针对性的开发通过钓鱼

攻击者可以建立自己的网站部署EK或利用一个脆弱的网站。然后他们精心制作的电子邮件发送给一个潜在的受害者,包括受感染的网站链接,希望目标将点击链接和访问该网站。

从历史上看,主要目标部署的偷窃凭证和银行信息时,部署ransomware使用受感染的机器,机器人在DDoS攻击。不过,最近威胁演员再利用的我cryptocurrencies(所谓的“drive-by-mining”)。

分析

我们分析了很多不同的艾克¹使用各种来源²收集通常针对漏洞的列表(见下图):

这是明显的第一件事是多大了许多有针对性的漏洞——有些cf追溯到2014年!Adobe Flash仍然在列表顶部。(虽然新的利用针对Flash变得不那么普遍,反映其吗在野外萎缩的发病率。)

在第二位的是微软应用程序,特别是Internet Explorer、边缘和它们相关的库。这些有针对性的漏洞更最近,大多数在2017年公布。

演员不是愚蠢的威胁。像任何商业活动,他们专注于投资回报(ROI)。事实上他们还针对老漏洞显示他们仍然与他们取得一些成功。,但它也表明,EK开发人员不得不依赖旧的漏洞,说明缺乏最近的有效利用。

这也不是第一次的面临有效性下降。2016年以前,主要针对Java的漏洞,但利用旋转Flash的可用性下降有效的Java开发。

我们自己的分析表明漏洞目前的目标的客户环境中发病率很低。这并不奇怪,考虑到很多人的年龄。但是,重要的是要注意,自己的数据集是集中在组织行为活动的脆弱性管理。这并非总是如此。波耐蒙研究所(Ponemon ServiceNow。最近的一份联合报告调查指出,37%的企业在过去24个月经历了一个违反不扫描漏洞。家庭用户和许多小企业也常常不积极管理漏洞。

结论:利用工具正在下降——现在

一个细心的和滑稽的读者可能会说最好的防守策略来防止的是转储Internet Explorer和Adobe Flash。事实上,有很多优点,建议。

其他浏览器通常利用要少得多的,最明显的是Google Chrome,尽管略高于60%的市场份额。Flash已经被淘汰,兼容Flash的网站的比例迅速下降。此外,Flash将2020年的生物。除了遗留应用程序和依赖性,没有好的理由任何人还安装了Flash。

真实的埃克活动已被观察到的在过去24个月下降。从2016年到2017年,EK部署,测量体积的网站服务的,已经下降了300%,根据一些来源。的活跃发展的也下降了62%。

有各种各样的原因。逮捕网络罪犯提供的和一致的可拆卸的执法和科技公司的EK基础设施产生了一定影响。但是下降的主要原因是基于缺乏有效的客户端攻击和随后易受攻击的目标。

更普遍的是,我们的总体结论是的不是风险。他们不保证和过去几年一样的战略重点。

需要澄清的是,我们并不是说你不应该矫正目标的漏洞,如果你有资源。但是,如果你的目标是识别相关的威胁和漏洞修复,减少最多的真实风险,现在的别让列表的顶部。

但这也将总是取决于你有什么特定的软件部署和脆弱性管理程序的成熟。如果你仍然大量使用IE和安装了旧版本的Flash,的仍然构成相关的威胁。

我们也应该没有错误的解读EK中断作为最后的喘息。的死的谣言可能被夸大了。EK开发人员可以很容易地添加新的利用可用。艾克是,通过设计,利用交付平台,武器化自动化攻击。合适的数量和有效的漏洞目前的武器化的萎缩。和浏览器安全机制得到了改善。但是,目前还不清楚如果这将是永久的或者新一波的发现漏洞将注入新生命的严重威胁。

EK模型成熟,尝试和测试。我们已经看到他们转化为其他任务。当演员的名字可能会改变和小舞台,发挥本身实际上已经变得更加有利可图的如果我们考虑drive-by-mining上升。

相比现在的代表减少风险。但是,让我们不要自满。环境是动态的和不断发展的威胁。我们会监控威胁活动,以防将来这改变。

笔记

1. 这些包括中微子,猎人,钻机,蔑视,恐怖,大小,Electroneum, XMRig, Astrum, Gh0st老鼠,核包,垂钓者,日落和开心网
2. 记录的未来,塔洛斯,ZScaler,帕洛阿尔托,赛门铁克和各种博客