Mind漏洞:现有漏洞框架如何能够离开组织

由四部分排列的系列中的第二组研究从易感性首次发现到在国家易感性数据库中完全披露的时间段并讨论Tenable帮助方式。

知识不单依赖真理,还依赖错误

卡儿郑

网络安全团队每年面对新漏洞披露攻击 影响组织使用软件和系统单2022年就有25,000多脆弱度披露,比上一年近20%增长

公共框架组织依赖评价漏洞并优先确定哪些先解决已成为事实标准但他们也留下安全专业人员 高盲点帮助增加风险

博客检视盲点之一:先发现脆弱点与后在国家脆弱点数据库中完全披露之间时间差在去年发现25,000+漏洞中,295例在NVD完全披露前被发现可开发

何必担心忙碌网络安全专业人士依赖NVD完全披露来做出补救决策攻击者不等待组织安全漏洞从几天到数月不等

网络安全从业者需要进化脆弱性管理实践以接受对攻击面扩增风险知情透视跨出全接触管理程序的第一步

术语汇编

NVD插件盖头是什么意思	NVD插件覆盖前表示可租产品前(或同一天)CVE完全公开
NVDVR覆盖前表示什么	NVDVR覆盖前表示可租产品提供脆弱优先评分前(或同日)CVE在NVD上完全披露
为何这些分类很重要	插件覆盖和VPR都是安全团队实践预防性网络安全的关键工具可租产品插件在NVD完全披露前提供,安全团队有能力留意漏洞,VPR评分系统则提供替代方法网络安全团队可用以优先处理漏洞处理VR评分生成对脆弱性至关重要,这些脆弱性尚未在NVD中完全披露,CVSS评分缺失
对安全专业人员意味着什么	快速响应 可租制研究通过及时检查、披露和提供检测工具和指导,使安全专业人员能够快速应对对其系统构成最大风险的漏洞。 综合情报 可租制研究持续更新并丰富上下文情报集,为产品提供素材,为安全专业人员提供最顶级客户经验 主动风险识别和补救 可租制研究持续分析漏洞评价组织风险并提供主动补救指导,确保安全专业人员拥有主动持续减少风险所需的工具

22年Tenable插件覆盖前NVD

我们分析历史数据以显示空白的全面范围以及它如何影响许多组织使用中的常用软件杨间2000年1月12日31,2022,Tenable提供插件覆盖前NVD32862漏洞,其中531个尚未在NVD中完全披露(截至12月312022

展示网络安全团队所面临覆盖空白的全部范围, 我们还分析16家软件商, 他们的产品在许多大组织中常用微博seves/civity提供插件覆盖2000年12月312022工商中发现平均延迟117天,从易损度首次发现到NVD完全披露之间平均延迟117天

微博一号

厂商	插件覆盖前NVD	插件总覆盖	插件中%比NVD提前发布	Avg延迟观察日
阿多比	278	4 271	6.5%	21号
亚马逊	368	5342	6.9%	161
苹果市	1,047	5 842	17.9%	73号
半点OS	392	5 972	6.6%	125
思科市	104	2 477	4.2%	177
德比安市	578	8 288	7%	85
谷歌	525	3239	16.2%	35码
IBM系统	259	1 603	16.2%	154
微软	394	8 597	4.6%	18号
莫兹拉	76	2 593	2.9%	175
acle语言	1439	13 575	10.6%	173
红帽	1	12 855	8.9%	124
破件	51号	539	9.5%	298
太阳风	12	67号	18%	69
SuseLinux	216	35611	6.1%	133
VMWARE	49号	535	9.1%	55号

参考周期:2000年1月1日-2022年12月31日

来源:可租研究2023年4月

参考时间段(2000-2022年)前前五大销售商Tenable填充插件覆盖最大百分比

1. 苹果公司17.4%
2. 谷歌16.3%
3. IBM系统(16.2%)
4. 太阳风(12.9%)
5. Slackware(11.0%)

2022年我们观察到下列(累计)资产:

• 15+百万运行苹果软件
• 97+百万资产运行谷歌软件
• 16+百万资产运行IBM软件
• 50万+资产运行索尔温兹软件

关于MindGap数列

四分制思维漏洞博客串联为安全专业人员提供宝贵资源,概述所观察到的脆弱性面貌,重点是TenableResearch发现的脆弱性数列出自分析我们自己数据集 行业中最广富数据集历经多年,我们收集了广泛的脆弱环境知识,与可耐研究特有洞察力和报告能力相融合

数列中的其他博客

• MindGap:等待NVD如何置组织于险境
• MindGap:近距离观察2022年虚构
• MindGap:近距离观察2022年八大CVE

学习更多

• 下载2022威胁横向报告
• 读博客接触管理:我们的视觉保护现代攻击面
• 浏览WebNar分析员圆桌:接触管理如何帮助提高可见性、预防攻击和通信风险改善决策