2019年披露1.8万个漏洞,仅2.6%遭恶意利用

2019年披露1.8万个漏洞,仅2.6%遭恶意利用

逆向破解访客2021-10-11 7:35:003191A+A-

Kenna Security更新反FUD分析报告,缓解安全漏洞焦虑情绪。

信息安全行业盛产关于软件漏洞的FUD(惧、惑、疑),也很是适应软件漏洞FUD满天飞的状态,但近期一份调查研究报告当众打脸FUD,揭示2019年披露的1.8万个CVE中仅不到500个遭到利用。

美国信息安全公司Kenna Security日前发布研究报告称,尽管当年有成千上万个漏洞获得CVE追踪编号,其中却仅有473个遭到可能影响公司企业的恶意利用。

也就是说,2019年报告的漏洞遭到恶意利用的概率仅2.6%,为业界评估联网公司面临的威胁规模提供了新的视角。

Kenna联合创始人兼首席技术官Ed Bellis向媒体透露,这份分析报告专注有可能影响其客户的那些CVE,473这个数字甚至能够进一步削减。即使该公司没有过滤这1.8万个CVE,比如说只分析影响企业软件的那些漏洞,漏洞披露数量与实际遭利用数量之间的对比也十分鲜明了。

Kenna Security的报告断言:“这473个漏洞中仅6%曾经达到过被超1/100的组织广泛利用的程度。漏洞利用程序‘在野’并不意味着就已经肆虐全网了。”

“纳入CVE列表发布之时,>50%(最终遭野生利用)的漏洞都已经存在漏洞利用代码了。但在防御者的不懈努力下,其中80%的CVE在披露之时就发布了补丁。”

漏洞就在那里,但一切都极其不安全,有时只有纯靠运气才能避免数据盗窃、拒绝服务攻击等等危险的观念,可能只是假相。真相令人意外!

CVE、CNA、CVSS,还能再C出几个缩写吗?

尽管并不完美,CVE也是广为接受的公共领域漏洞数量与严重性度量。过去几年,CVE编号机构(CNA)大量冒出,刺激了报告CVE数量的大幅增长。目前,超过150家组织机构有权分配CVE编号,虽然其中大多数不过是只负责自身产品的供应商(如英国当下只有三家CNA:Canonical、Snyk和Sophos,而这三家全部都是软件和信息安全供应商)。

学术界也质疑CVE评分的重复性和一致性,德国一家大学就正在进行关于通用漏洞评分系统(CVSS)的研究,主要分析不同人员分配评分产生迥异结果的原因和方式。

而且,CVE成因大不同。虽然围绕一波波漏洞的大多数FUD总是令人联想起恶人小组无情发现并利用漏洞执行进一步破坏,连信息安全人员都扛不住,但真相有时候没那么戏剧化。

本月早些时候,谷歌就生动演绎了什么叫不过是人为失误。其Project Zero抱怨垃圾安全补丁未能完全修复CVE披露的问题。两天后,谷歌Chromium验证了Project Zero抱怨的问题,是11月时未能恰当修复的一个老旧Chromium零日漏洞。

Kenna Security报告原文:

https://www.kennasecurity.com/resources/prioritization-to-prediction-reports/

来源:数世咨询

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 1条评论
  • 野欢萌晴2022-06-02 16:19:53
  • romium验证了Project Zero抱怨的问题,是11月时未能恰当修复的一个老旧Chromium零日漏洞。Kenna Security报告原文:https://www.kennasecurity.com/resources/prioritization-

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理