MindGap:近距离观察2022年虚构

由四部分排列的系列中第三组研究从易感性首次发现到在国家易感性数据库中完全披露之间的时间段在此分块中,我们更仔细地研究2022年披露的漏洞-并讨论Tenable帮助方式

有必要客观地观察结果,因为你实验者可能比其他结果-理查德P更喜欢结果-理查德P费曼

2022年披露了25 080个漏洞,比2021年增加18.78%108人(0.43%)获得可租脆弱优先评分3 920人(15.63%)获得临界CVSS3评分8 659人(34.53%)获得高CVSS3评分8 659人(34.53%)。

2022年披露的漏洞中,295(1.2%)在国家漏洞数据库完全披露前被发现可开发

攻击者可以先花时间监控CVE建议NVD,但大多数时间紧缺的网络安全从业者除了依赖NVD作为脆弱性意识的主要来源外别无选择。

何必重要脆弱度首次分配CVE与NVD分析分数之间的时间代表组织关键盲点攻击者监控建议查找漏洞盲点可增加易失能风险 攻击者利用 前组织安全专业人员 甚至知道它

漏洞评分方式脆弱度咨询发布前CVE命名局分配常见脆弱度和接触数CVE数据库由MITRE管理CVE数发布后可立即保留,CNA必须向MITRE提供漏洞细节,然后才能评价缺陷并分配国家漏洞数据库分数从向MITRE提供CVE细节到NVD分析CVE并提供有关详细信息,包括提供常见脆弱评分系统评分等,都需数周或更长时间CVE公开并出现在MITRE和CVE完全公开NVD为网络安全组织创建盲点之间的时间差本研究分析漏洞如何增加组织网络安全风险

评估脆弱度首次发布时间与NVD完全发布时间之间的差距探索历史趋势并讨论可耐性如何帮助安全团队消除空白

依据下列标准分析2022年公布的漏洞(详情参参参参注):

• 可租产品中有多少漏洞在NVD完全披露前得到覆盖
• 有多少漏洞排名临界点或高位by可租VPR前后完全披露NVD

开始2022日志4shell上年脆弱点之一 上个十年最差安全漏洞下半年没有失望 引出大量其他关键漏洞 包括Follina和ProxyNotshell脆弱环境继续演进,网络安全组织面临收集准确数据、分析数据并采取行动减少风险的艰巨任务。

可租制研究致力于收集广泛知识库,了解脆弱环境团队开发各种洞察能力和报告Tenable产品目标实现帮助安全从业者发现并修复组织中最重要的漏洞并及时这样做博客提供:

• 时间统计和Tenable制定的措施以填充关键盲点
• 更仔细地研究临界漏洞,从认知到优先排序覆盖等方方面面都覆盖到NVD前

2022回溯:可置换插件覆盖

2022年有25 080个新漏洞披露后,可支付性知道至少有565次公共开发这些漏洞,占迄今已知开发漏洞的2.25%可租提供插件覆盖CISA已知稀有性目录之前完全披露NVD房价提供插件比NVD前至少96个漏洞可用并观察开发(见Fig/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Server/Ser其中35项功能开发,15项极有可能开发,46项可用概念证明

微博一号

开发成熟度分解

来源:可租研究2023年4月

况且,像Fig2显示,2022年,可登插件覆盖30个漏洞,获得VPR临界值评分684个漏洞,获得VPR高评分915个漏洞中VPR中度评分915个漏洞-所有漏洞都比NVD完全披露这些漏洞提前并有556名CVE提前获得低VR评分

微博2

VR评分2022CVES

来源:可租房研究2023年1月

最后但并非最不重要的是,可点安全响应队发布网络接触警告326漏洞

VPR覆盖前NVD

2022年,可租性提供VR分数1 801弱点后,NVD完全披露31个脆弱点中得到了可租VR评分CISA已知稀有性目录.况且,像Fig3显示,2022年,可租VR评分比完全公开NVD至少66个漏洞可用并观察开发,其中26个漏洞有功能开发,10个漏洞极易开发,30个漏洞有概念证明据我们所知 1 735开发成熟

微博3

VPR覆盖前完全披露NVD

来源:可租研究2023年4月

况且,像Fig4show4可租VP评为24CVE临界点535高位763中度全前置漏洞 完全发布NVD此外,有479CVE接收低频VR评分后NVD完全公开

微博4

可租VR分数

来源:可租研究2023年4月

最后但非最不重要的是,可租SRT发布网络接触警示150 VPR比NVD覆盖的漏洞

2022年披露的25 080漏洞中,108(0.43%)评分为临界VR评分关于2022年NVD前发现的脆弱性(2 000次迄今),我们观察到以下平均时间跨度介于弱点由厂商首次公开引用到分分详国家脆弱性数据库(见注):

• 脆弱度排名45天VR评分
• 71天漏洞排名VR高分
• 130天漏洞排名中VR评分
• 148天漏洞排名VR评分

最大日数我们观察脆弱类别如下:

• 脆弱点排行1 749天VR评分
• 5 921天漏洞排名VR高分
• 5 622天漏洞排名中VR评分
• 6 562天漏洞排名VR低分

放大:CVE高亮

本节首先分析2022年两个值得注意的漏洞间的差距快速透视漏洞 从TenableResearch发现时间到NVD完全披露漏洞时间

2022年两个值得注意的漏洞

2022年出现两个值得注意的漏洞SpookySSL和心理签名

SpookySSL CVE2022-3786并CVE2022-3602缓冲溢出漏洞影响OpenSSL并随着OpenSSL3.0.7版发布而固定两种漏洞均接收a高位VPR评分 2022年10月27日 房东发现第一线情报5天后NVD完全披露漏洞细节,2022年11月1日内苏斯插件最早覆盖日期与NVD同日提供 更多细节和更多指导访问CVE2022-3786和CVE2022-3602OpenSSL补丁

智能签名 CVE2022-21449并称灵异签名,即Jaava密码签名脆弱度影响Java15、16、17和18 2022年4月17日 发现首件英特尔两天后,即2022年4月19日,NVD完全披露漏洞最早Nessus插件覆盖与NVD同日提供 更多细节和更多指导访问Oracle2022关键补丁更新地址.

消除漏洞:接触管理如何帮助

我们想如果爱因斯坦在这个时代网络安全方面工作,他会说:

从昨天学习,评估你今天的曝光量,明天的希望

评估并保护现代攻击面取决于影响当今复杂动态环境的多种条件需要从整体上看待所有这些因素,以便安全从业者实施有助于减少风险的预防措施。

执行接触管理程序至关紧要威胁行为主体不思考筒仓取而代之的是,他们寻找各种缺陷、误配置和特征的正确组合,以提供实现自身目标所需要访问权

多数安全组织依赖嵌入点安全工具无法有效获取攻击面全景图有效接触管理程序需要拆解筒仓,将脆弱管理、Web应用安全、云安全、身份安全、攻击路径分析以及外部攻击表面管理等技术汇总只有通过从上下文考虑所有这些因素,各组织才能希望理解其接触的广度和深度,并采取必要行动通过补救和事件响应工作流程来减少接触和接触

关于MindGap数列

四分制思维漏洞博客串联为安全专业人员提供宝贵资源,概述所观察到的脆弱性面貌,重点是TenableResearch发现的脆弱性数列出自分析我们自己数据集 行业中最广富数据集历经多年,我们收集了广泛的脆弱环境知识,与可耐研究特有洞察力和报告能力相融合

数列中的其他博客

• MindGap:等待NVD如何置组织于险境
• Mind漏洞:现有漏洞框架如何能够离开组织
• MindGap:近距离观察2022年八大CVE

学习更多

• 下载2022威胁横向报告
• 读博客接触管理:降低现代攻击面的风险
• 浏览WebNar分析员圆桌:接触管理如何帮助提高可见性、预防攻击和通信风险改善决策