红区威胁情报的好处

利用趋势有助于揭示网络犯罪分子正在积极调查潜在攻击的领域以及他们当前的目标。新的情报使首席信息安全官能够优先考虑风险缓解，并通过扩展的“红区”方法减少主动攻击面。

进入红区

当 FortiGuard Labs 研究人员查看 2022 年下半年的数据时，发现在企业规模组织中发现的所有观察到的漏洞中，只有不到 1% 位于端点上。为什么这很重要？这是帮助防守者缩小攻击范围的关键——换句话说，就是他们最需要关注的红色区域。

映射 CVE 揭示漏洞“红区”，帮助 CISO 确定优先级

分析发现，大多数 CVE 并未在端点上发现，甚至发现的 CVE 中很少有被利用。红色区域是通过将端点的开放攻击面（开放 CVE）与活动攻击面（攻击者正在利用的 CVE）进行比较来计算的。得出的 2022 年下半年的红色区域为 8.9%。

预计攻击者会根据 CVE 在端点上的存在来确定 CVE 的优先级。相反，观察到大量 CVE 在端点上普遍存在，但在攻击中很少见。为什么？攻击者根据多种因素选择目标，但众多可利用的 CVE 似乎并不是其中之一。

检查普遍存在的漏洞

在检查最常见的漏洞时，发现 Log4j 继续占据主导地位。基于 Log4j 的攻击绝大多数集中在技术领域，无论哪个地区。这主要是因为 Apache Log4j 是一个非常流行的开源程序。许多企业甚至可能不知道他们的现有系统是在 Log4j 组件之上构建的，因为Apache可以如此深入地集成到各种应用程序中。

甚至可以在意想不到的地方使用，例如 Ghidra（调试器），也已被完全合并。Apache广泛使用表明其受欢迎程度不会很快消失。

像Log4J这样的老前辈也加入了一些新来者的行列，其中包括指定的“一半新秀”，这意味着最近才发现但在六个月期间在公司中出现频率很高的漏洞。最新获得此称号的是 VMWare 中的 Workspace One Access Catalog 漏洞，该漏洞于 2022 年中期的服务器端注入问题中首次曝光。这是 2022 年 7 月发现的一个重大远程代码执行漏洞。使用此缺陷的节点似乎与通用僵尸网络的节点相当。

前六名“半场新秀”中的三名都与开源 Java 框架 Spring 有关。如果“Spring”这个词看起来很熟悉，那是因为 Spring 框架中的两个零日漏洞在 2022 年被披露。尽管它们并不常见，但在我们继续 2023 年时记住它们是个好主意。

优先修补

通过向 CISO 提供有关主动攻击面的信息，这些见解可以让 CISO 清楚地了解红区以及修补工作的重点。当然，一旦发现漏洞，大多数软件提供商都会提供补丁。但如果你去不应用执行这些补丁，它们就毫无用处。因此，过去 10 年最具破坏性的恶意软件攻击主要集中在易于获取更新的软件缺陷上。CISO 和 IT 主管需要优先考虑有效的补丁管理并定期升级或更换软件。

防御零日漏洞的第一步是确定需要保护的内容。始终会混合使用基于网络和基于端点的检测和安全措施。为了提供所有领域和行业的全面可见性，这两种措施都应包含全球威胁研究团队提供的最新安全更新和威胁数据。

智慧就是力量

随着威胁形势和组织的攻击面不断变化，不良行为者创建和修改策略以满足不断变化的环境的能力继续对各种规模的企业（无论行业或地点）构成严重风险。

2022 年下半年，犯罪分子继续利用已知和新的漏洞，但不一定是在终点。此类信息可以帮助组织了解如何优先考虑安全团队的时间并堵塞最漏洞。将红区威胁情报纳入您的安全策略将帮助您掌握最新威胁并更好地保护组织。

原文始发于微信公众号（祺印说信安）：红区威胁情报的好处