最近，根據(jù)一項針對應用程序漏洞的調(diào)查研究顯示，軟件中高危漏洞的涌現(xiàn)速度，要比企業(yè)安全團隊所能對其進行響應的速度更快，這項研究提醒我們，網(wǎng)絡犯罪分子的目標仍然是過時軟件，而這些軟件一般不太可能在軟件修復過程中被優(yōu)先考慮。

作為Tenable最新《漏洞情報報告》(VIR)的一部分，對常見漏洞和CVE數(shù)據(jù)庫的審查結果發(fā)現(xiàn)，2017年全年共報告了15,038個新漏洞，此外，與去年同期相比，今年上半年的漏洞新增率增長了27%。

這一增長率意味著，今年一整年可能會發(fā)現(xiàn)超過18,000個新漏洞——并且大約61%的已發(fā)現(xiàn)漏洞已被評級為“高危漏洞”，企業(yè)應用程序管理者必須優(yōu)先考慮在960個資產(chǎn)上平均每天修補870個CVE。

該報告指出，管理漏洞是一項規(guī)模、速度和數(shù)量等多重挑戰(zhàn)并存的任務。它不僅僅是一項工程挑戰(zhàn)，還需要一種“以風險為中心”的觀點來優(yōu)先考慮表面上看似相同的數(shù)千個漏洞。

Tenable公司的分析報告警告稱，即便企業(yè)只能解決嚴重風險評級的漏洞——嚴重程度為9.0-10.0的漏洞——他們?nèi)匀徊坏貌辉谀甑浊疤幚?00多個此類漏洞(高危漏洞占據(jù)全年發(fā)現(xiàn)新漏洞總數(shù)的60%以上)。

此外，Tenable還發(fā)布了Top20漏洞排行，凸顯了在實際網(wǎng)絡掃描中最常見的漏洞類型。其中一些是專門針對應用程序的，而另一些則是繼續(xù)使用過時的協(xié)議：例如，27%的企業(yè)仍在使用舊的和不安全的SSLv2和SSLv3版本運行服務。

報告顯示，紅帽企業(yè)版Linux(Red Hat Enterprise Linux，簡稱RHEL)具有最高風險等級的漏洞，Orace Linux 和Novell SUSE Linux風險水平差不多，CentOS Linux幾乎與微軟操作系統(tǒng)風險水平相當。

Mozilla的Firefox瀏覽器在高危CVE中的比例最高，而Adobe和Google的曝光率也是受到了高危問題的影響。

令人擔憂的現(xiàn)實是，猖獗而持續(xù)存在的漏洞問題，不僅會對企業(yè)本身構成嚴重威脅——網(wǎng)絡犯罪分子針對制造業(yè)和媒體組織等部門的攻擊行為越來越具有破壞性，且未修復的漏洞也可能會使企業(yè)腹背受敵——還可以被攻擊者用于向附屬企業(yè)發(fā)起“跳板攻擊”，進一步擴大受災面。

根據(jù)Carbon Black(一家事件響應和威脅狩獵公司)最近發(fā)布的《季度事件響應威脅報告》(QIRTR)指出，在分析的所有攻擊事件中，有一半涉及上述的“跳板攻擊”(island hopping)，此外，30%的受訪者認為受害者網(wǎng)站被轉變?yōu)椤八印?，其中受到攻擊的網(wǎng)絡被用于攻擊網(wǎng)絡中的關聯(lián)企業(yè)。

這就意味著，不僅貴公司的數(shù)據(jù)會面臨風險，您的客戶、合作伙伴以及供應鏈中其他任何一方的數(shù)據(jù)都會面臨同樣的威脅。

Carbon Black公司還發(fā)現(xiàn)，一些使用率和安裝率較高的工具通常都能為攻擊者提供橫向移動的能力。其中89%的受訪黑客稱PowerShell在該方面十分好用，65%的受訪者則習慣利用WMI工具。

如今，無處不在的此類工具正在通過常用的應用程序進一步推動外部攻擊。根據(jù)Tenable Top 20漏洞榜單揭示，最常見的漏洞是CVE-2018-8202，這是一個影響Microsoft應用程序的.NET Framework特權提升漏洞 – 在接受掃描的32%的企業(yè)環(huán)境中都可以找到此類漏洞。

此外，在接受掃描的至少28%的企業(yè)環(huán)境中，還發(fā)現(xiàn)了Google Chrome基于堆棧的緩沖區(qū)溢出漏洞，Microsoft Internet Explorer VBScript漏洞，可用于獲取提升權限的Oracle Java DB漏洞;以及Microsoft .NET Framework漏洞，該漏洞可被用于繞過該平臺的Device Guard框架。

Tenable《漏洞情報報告》（VIR）報告全文：

https://www.tenable.com/cyber-exposure/vulnerability-intelligence