网络犯罪分子利用新的安全漏洞的速度能有多快?
发布时间:2022-04-29 10:20:16 所属栏目:安全 来源:互联网
导读:Skybox安全研究实验室在2021年公布了20175个新漏洞,去年也是报告漏洞数量最多的一年。而这些新漏洞只是冰山一角,该实验室在过去10年发布的漏洞总数达到166938个。 这些漏洞年复一年地累积起来,这意味着巨大的风险,它们将让企业在堆积如山的网络安全债务
|
Skybox安全研究实验室在2021年公布了20175个新漏洞,去年也是报告漏洞数量最多的一年。而这些新漏洞只是冰山一角,该实验室在过去10年发布的漏洞总数达到166938个。 这些漏洞年复一年地累积起来,这意味着巨大的风险,它们将让企业在堆积如山的网络安全债务中陷入困境。正如美国网络安全和基础设施安全局(CISA)在其经常利用的顶级漏洞列表中所强调的那样,威胁行为者经常利用过去几年公开披露的漏洞进行攻击。 Skybox安全研究实验室威胁情报分析师Ran Abramson说,“大量累积的漏洞意味着企业不可能修补所有这些漏洞。为了防止发生网络安全事件,对可能导致最严重破坏的暴露漏洞进行优先排序至关重要。然后应用适当的补救选项,包括配置更改或网络分段,以消除风险。” 被利用的新漏洞增加了24% 随着2021年新漏洞的出现,威胁行为者立即利用它们。2021年发布的168个漏洞在12个月内被迅速利用,这比2020年发布并随后被利用的漏洞数量多出24%。换句话说,威胁行为者和恶意软件开发人员将最近出现的漏洞武器化。 这让安全团队陷入困境,缩短了从最初发现漏洞到出现针对漏洞的主动攻击之间的时间。修复已知漏洞的窗口越来越小,这意味着主动性漏洞管理方法比以往任何时候都更为重要。 如何利用数据科学预测和预防网络攻击 调研机构Forrester Research公司声称:“首席信息安全官最害怕企业董事会提出一个问题:‘我们安全吗?’,董事会提出这个问题,是因为他们想知道安全领导者是否在正确地领域进行了投资,并在安全方面进行了足够的投资,以满足他们对各种问题的承受能力。然而,首席信息安全官长期以来致力于回答这个问题,过去一直依赖定性方法,例如基于主观专家判断和意见的序数评分机制和5×5热图。” 为了通用风险语言实现标准化,安全团队需要一个客观的框架来衡量任何给定漏洞对其企业构成的实际风险。这需要使用严格的评分系统,该系统可用于确定补救工作的优先级,并将宝贵的资源分配到最需要的地方。这意味着根据四个关键变量计算资产的风险评分: 测量的通用漏洞评分系统(cvss)严重性 被利用的可能性 基于安全控制和配置的暴露级别 资产的重要性 Abramson补充说,“暴露分析是最重要的,但传统的风险评分方法却缺少这一点。暴露分析识别可利用的漏洞,并将这些数据与企业独特的网络配置和安全控制相关联,以确定系统是否可能受到网络攻击。” (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号