1. 科技訊首頁(yè)
  2. 產(chǎn)經(jīng)

青藤云安全:只有1%漏洞值得投入,但如何處理好這1%?

陳晨 ? ? 產(chǎn)經(jīng)

2022年“網(wǎng)絡(luò)戰(zhàn)”硝煙四起,漏洞已成威脅國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的新型關(guān)鍵武器,亦是各國(guó)爭(zhēng)相管控和利用的“現(xiàn)代軍火”。2022年5月26日,美國(guó)商務(wù)部工業(yè)與安全局(BIS)通過(guò)修訂《出口管制條例(EAR)》發(fā)布了醞釀

2022 年 網(wǎng)絡(luò)戰(zhàn)硝煙四起,漏洞已成威脅國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的新型關(guān)鍵武器,亦是各國(guó)爭(zhēng)相管控和利用的現(xiàn)代軍火。2022526日,美國(guó)商務(wù)部工業(yè)與安全局(BIS)通過(guò)修訂《出口管制條例(EAR)》發(fā)布了醞釀 年的網(wǎng)絡(luò)安全物項(xiàng)出口限制策略,以國(guó)家安全反恐為出發(fā)點(diǎn),加強(qiáng)了對(duì)漏洞披露的出口限制。

 

毫不夸張的說(shuō),隨著漏洞的資源屬性和戰(zhàn)略地位不斷提高,漏洞成為網(wǎng)絡(luò)空間的戰(zhàn)略物資:誰(shuí)能利用好漏洞,誰(shuí)就能在網(wǎng)絡(luò)空間占據(jù)先鋒。

 

使用漏洞屏蔽神器,占據(jù)網(wǎng)絡(luò)空間安全先鋒!

青藤云幕·漏洞無(wú)效化新品發(fā)布會(huì)

一鍵屏蔽漏洞的新安全神器即將發(fā)布,您可進(jìn)入“青藤云安全視頻號(hào)”點(diǎn)擊預(yù)約直播,觀看新品秀。

 

鑒于漏洞在網(wǎng)絡(luò)空間的戰(zhàn)略地位,我國(guó)在近年相繼出臺(tái)了相關(guān)政策法規(guī),強(qiáng)調(diào)國(guó)家對(duì)于漏洞管理工作的監(jiān)管決心。

 

戰(zhàn)略高度上,有20167月印發(fā)的《國(guó)家信息化發(fā)展戰(zhàn)略綱要》;法律層面,有201761起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》;再到20218月公布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例 》和9月實(shí)施的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,以及2019121日實(shí)施的國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度》,各個(gè)緯度都提到了對(duì)漏洞的關(guān)注。

 

截止目前,漏洞攻擊仍然是威脅行動(dòng)者最熱衷使用的網(wǎng)絡(luò)攻擊手段,而漏洞治理仍然是安全運(yùn)營(yíng)者最大的難題。

 

漏洞數(shù)量多,高危漏洞占比超過(guò)30%

根據(jù)CNVD官網(wǎng)統(tǒng)計(jì)數(shù)據(jù),2013 年 月至 2022 年 12 月底,近十年來(lái),CNVD 共收錄漏洞信息 155406 條,其中高危漏洞信息 51823 條,占比 33.35%。


青藤云安全:只有1%漏洞值得投入,但如何處理好這1%?

1  2013-2022年漏洞總數(shù)趨勢(shì)圖


 

青藤云安全:只有1%漏洞值得投入,但如何處理好這1%?

2  2013-2022年高危漏洞趨勢(shì)圖


 

漏洞是網(wǎng)安事件“罪魁禍?zhǔn)住?,老舊漏洞不容忽視

北極狼實(shí)驗(yàn)室發(fā)布的《北極狼實(shí)驗(yàn)室2023年威脅報(bào)告》中指出,在2022年,45%的網(wǎng)絡(luò)安全事件是由漏洞引起的這些漏洞本可以通過(guò)事件發(fā)生之前的安全補(bǔ)丁和更新得到緩解。在這些事件中,攻擊者利用一個(gè)已知的漏洞(例如,代理ShellLog4Shell)來(lái)獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)。


青藤云安全:只有1%漏洞值得投入,但如何處理好這1%?

3  網(wǎng)絡(luò)安全事件原因分布圖


 

 2022 年被攻擊者利用的前5個(gè)漏洞中,有4個(gè)是在 2021 年發(fā)布的,如下圖4所示。由此可見(jiàn),漏洞從披露到最終該漏洞被企業(yè)中受影響的資產(chǎn)上做修復(fù)是需要一個(gè)很長(zhǎng)的周期的,有的漏洞甚至由于各種原因無(wú)法被修復(fù)。


青藤云安全:只有1%漏洞值得投入,但如何處理好這1%?

4  2022年攻擊者利用TOP5漏洞


 

只有1%漏洞,才值得你投入99%的時(shí)間

漏洞攻擊造成的影響不容小覷,例如大名鼎鼎的log4j,可謂是真正的核彈級(jí)漏洞,堪稱互聯(lián)網(wǎng)歷史上破壞力最驚人的漏洞之一,漏洞波及面和危害程度堪比2017年的永恒之藍(lán)漏洞。

 

然而,龐大的漏洞數(shù)量庫(kù)讓安全工作者聞之色變,資產(chǎn)脆弱性掃描動(dòng)輒上百個(gè)的漏洞數(shù)量更是讓其無(wú)從下手。

 

我們需要知道的是:只有攻擊者對(duì)資產(chǎn)主體發(fā)起有效的漏洞利用手段,才會(huì)造成資產(chǎn)“CIA屬性遭到破壞,從而引發(fā)安全事件。

 

因此我們的重點(diǎn)應(yīng)該在能被利用的并對(duì)資產(chǎn)產(chǎn)生安全威脅的漏洞上,這些漏洞的數(shù)量,占比整體漏洞數(shù)量不足1%。結(jié)合這些漏洞所影響的資產(chǎn)類型在企業(yè)中的實(shí)際應(yīng)用,這個(gè)數(shù)量還會(huì)更少。

 

2021年,CISA 頒布 BOD 22-01,公布已知利用漏洞 KEV 目錄,強(qiáng)制性要求聯(lián)邦機(jī)構(gòu)在限期內(nèi)修復(fù)這些可能對(duì)聯(lián)邦系統(tǒng)造成重大風(fēng)險(xiǎn)的漏洞。截止20235月,KEV目錄攻擊添加才940個(gè)條目,占漏洞總數(shù)不足1%,進(jìn)一步說(shuō)明了并非所有的漏洞都值得關(guān)注。KEV目錄被利用漏洞數(shù)量按年度分布,如下圖5所示,可以看出漏洞利用在過(guò)去一直呈現(xiàn)增長(zhǎng)趨勢(shì),2022年有所下降。

青藤云安全:只有1%漏洞值得投入,但如何處理好這1%?

青藤云安全:只有1%漏洞值得投入,但如何處理好這1%?

5  過(guò)去10KVE漏洞數(shù)量分布圖


 

傳統(tǒng)漏洞防護(hù)方案需要補(bǔ)短板,漏洞運(yùn)營(yíng)需要新思路

值得關(guān)注的是,近3年來(lái),網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、智能設(shè)備的漏洞占比正在呈現(xiàn)逐步上升的趨勢(shì)。不得不說(shuō),新技術(shù)的引進(jìn)在帶來(lái)新的生產(chǎn)力提升的同時(shí),也增加了新的安全風(fēng)險(xiǎn),帶來(lái)了新的安全挑戰(zhàn)。

 

傳統(tǒng)漏洞解決方案例如網(wǎng)絡(luò)IPS、主機(jī)IPS以及WAF,在有效配置的情況下可發(fā)揮一定作用,但是面對(duì)無(wú)法打補(bǔ)丁的老舊系統(tǒng),沒(méi)有補(bǔ)丁的新漏洞等情況,傳統(tǒng)漏洞防護(hù)方案將形同虛設(shè)。

 

通常來(lái)說(shuō),漏洞信息收集是漏洞攻擊的前提。攻擊者想要攻到某一個(gè)目標(biāo)的時(shí)候,攻擊真正發(fā)生可能只需要那么短短的兩三分鐘就完成了,但是在這一次攻擊之前需要做很多的準(zhǔn)備工作,比如一個(gè)月兩個(gè)月甚至更長(zhǎng)時(shí)間的信息收集。

 

信息收集的目的是為了確定攻擊路徑和攻擊手段。如果攻擊者無(wú)法獲取到資產(chǎn)的漏洞信息,那么將極大的提升攻擊門(mén)檻,增加了攻擊者完成攻擊的時(shí)間,為其他的安全設(shè)備發(fā)現(xiàn)異常爭(zhēng)取到了足夠多的時(shí)間。

 

因此我們有理由認(rèn)為,在最小化開(kāi)放服務(wù)端口的情況下,盡可能的隱藏資產(chǎn)本身的信息以及資產(chǎn)的脆弱性信息,也是漏洞防護(hù)的有效手段之一。

 

青藤云幕NPatch——漏洞無(wú)效化新方案

青藤云幕NPatch漏洞無(wú)效化產(chǎn)品,將從以下三個(gè)功能角度,從南北向、東西向兩個(gè)維度進(jìn)行立體式的漏洞利用行為防御:

 

• 防御惡意漏洞探測(cè)

• 防御漏洞定向攻擊

• 防御病毒利用漏洞擴(kuò)散

 

629日,青藤將舉辦青藤云幕·漏洞無(wú)效化新品發(fā)布會(huì)您可進(jìn)入“青藤云安全視頻號(hào)”點(diǎn)擊預(yù)約直播,觀看新品秀。更多精彩內(nèi)容期待與您一起見(jiàn)證!

(本內(nèi)容屬于網(wǎng)絡(luò)轉(zhuǎn)載,文中涉及圖片等內(nèi)容如有侵權(quán),請(qǐng)聯(lián)系編輯刪除。市場(chǎng)有風(fēng)險(xiǎn),選擇需謹(jǐn)慎!此文僅供參考,不作買(mǎi)賣(mài)及投資依據(jù)。)

原創(chuàng)文章,作者:陳晨,如若轉(zhuǎn)載,請(qǐng)注明出處:http://m.2079x.cn/article/572857.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦