文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

青藤云安全:只有1%漏洞值得投入,但如何处理好这1%?

2024-11-30 12:23

关注


毫不夸张的说,随着漏洞的资源属性和战略地位不断提高,漏洞成为网络空间的战略物资:“谁能利用好漏洞,谁就能在网络空间占据先锋”。


使用漏洞屏蔽神器,占据网络空间安全先锋!

青藤云幕·漏洞无效化新品发布会

一键屏蔽漏洞的新安全神器即将发布,您可进入“青藤云安全视频号”点击预约直播,观看新品秀。


鉴于漏洞在网络空间的战略地位,我国在近年相继出台了相关政策法规,强调国家对于漏洞管理工作的监管决心。


战略高度上,有2016年7月印发的《国家信息化发展战略纲要》;法律层面,有2017年6月1起施行的《中华人民共和国网络安全法》;再到2021年8月公布的《关键信息基础设施安全保护条例 》和9月实施的《网络产品安全漏洞管理规定》,以及2019年12月1日实施的国家标准《网络安全等级保护制度》,各个纬度都提到了对漏洞的关注。


截止目前,漏洞攻击仍然是威胁行动者最热衷使用的网络攻击手段,而漏洞治理仍然是安全运营者最大的难题。


漏洞数量多,高危漏洞占比超过30%

根据CNVD官网统计数据,2013 年 1 月至 2022 年 12 月底,近十年来,CNVD 共收录漏洞信息 155406 条,其中高危漏洞信息 51823 条,占比 33.35%。


1.png

图1  2013-2022年漏洞总数趋势图



2.png

图2  2013-2022年高危漏洞趋势图



漏洞是网安事件“罪魁祸首”,老旧漏洞不容忽视

北极狼实验室发布的《北极狼实验室2023年威胁报告》中指出,在2022年,45%的网络安全事件是由漏洞引起的,这些漏洞本可以通过事件发生之前的安全补丁和更新得到缓解。在这些事件中,攻击者利用一个已知的漏洞(例如,代理Shell、Log4Shell)来获得对网络的访问权。


3.png

图3  网络安全事件原因分布图



在 2022 年被攻击者利用的前5个漏洞中,有4个是在 2021 年发布的,如下图4所示。由此可见,漏洞从披露到最终该漏洞被企业中受影响的资产上做修复是需要一个很长的周期的,有的漏洞甚至由于各种原因无法被修复。


4.png

图4  2022年攻击者利用TOP5漏洞



只有1%漏洞,才值得你投入99%的时间

漏洞攻击造成的影响不容小觑,例如大名鼎鼎的log4j,可谓是真正的核弹级漏洞,堪称互联网历史上破坏力最惊人的漏洞之一,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。


然而,庞大的漏洞数量库让安全工作者闻之色变,资产脆弱性扫描动辄上百个的漏洞数量更是让其无从下手。


我们需要知道的是:只有攻击者对“资产主体”发起“有效的漏洞利用”手段,才会造成“资产”的“CIA属性”遭到破坏,从而引发安全事件。


因此我们的重点应该在“能被利用的并对资产产生安全威胁的漏洞上”,这些漏洞的数量,占比整体漏洞数量不足1%。结合这些漏洞所影响的资产类型在企业中的实际应用,这个数量还会更少。


2021年,CISA 颁布 BOD 22-01,公布已知利用漏洞 KEV 目录,强制性要求联邦机构在限期内修复这些可能对联邦系统造成重大风险的漏洞。截止2023年5月,KEV目录攻击添加才940个条目,占漏洞总数不足1%,进一步说明了并非所有的漏洞都值得关注。KEV目录被利用漏洞数量按年度分布,如下图5所示,可以看出漏洞利用在过去一直呈现增长趋势,2022年有所下降。

5.png

图5  过去10年KVE漏洞数量分布图



传统漏洞防护方案需要补短板,漏洞运营需要新思路

值得关注的是,近3年来,网络设备、安全产品、智能设备的漏洞占比正在呈现逐步上升的趋势。不得不说,新技术的引进在带来新的生产力提升的同时,也增加了新的安全风险,带来了新的安全挑战。


传统漏洞解决方案例如网络IPS、主机IPS以及WAF,在有效配置的情况下可发挥一定作用,但是面对无法打补丁的老旧系统,没有补丁的新漏洞等情况,传统漏洞防护方案将形同虚设。


通常来说,漏洞信息收集是漏洞攻击的前提。攻击者想要攻到某一个目标的时候,攻击真正发生可能只需要那么短短的两三分钟就完成了,但是在这一次攻击之前需要做很多的准备工作,比如一个月两个月甚至更长时间的信息收集。


信息收集的目的是为了确定攻击路径和攻击手段。如果攻击者无法获取到资产的漏洞信息,那么将极大的提升攻击门槛,增加了攻击者完成攻击的时间,为其他的安全设备发现异常争取到了足够多的时间。


因此我们有理由认为,在最小化开放服务端口的情况下,尽可能的隐藏资产本身的信息以及资产的脆弱性信息,也是漏洞防护的有效手段之一。


青藤云幕NPatch——漏洞无效化新方案

青藤云幕NPatch漏洞无效化产品,将从以下三个功能角度,从南北向、东西向两个维度进行立体式的漏洞利用行为防御:


• 防御恶意漏洞探测

• 防御漏洞定向攻击

• 防御病毒利用漏洞扩散


6月29日,青藤将举办“青藤云幕·漏洞无效化新品发布会”,您可进入“青藤云安全视频号”点击预约直播,观看新品秀。更多精彩内容期待与您一起见证!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯