一、一些基本的统计数据
-
漏洞总数:37478个
-
0day漏洞数:106个,占比0.28%;其中40+国产软件
-
ZDI漏洞数:450个,占比1.2%;其中200+目前无CVE
-
无CVE漏洞数:10887个,占比29%
-
CNVD漏洞数:17593个,占比47%
-
有公开Exploit/POC的漏洞数:1973个,占比5%;Exploit-DB来源414;PacketStorm 来源633;Github来源1338;MetaSploit来源24
-
有野外利用的漏洞数:667个,1.8%;其中319有公开Exploit,348无公开Exploit
-
APT相关的漏洞数:30个,占比0.08%
二、基于数据的分析结论
真正造成实际风险的漏洞只占少数
关注漏洞的实际野外利用状态非常重要
CVE远没有覆盖绝大多数已知漏洞
三、用户的漏洞处理痛点
-
每天数以百计的新漏洞披露,如何才能识别出哪些漏洞是真正有威胁的部分;
-
一般情况下,攻击者会比防御方更早地知道漏洞的存在,如何能尽早得到完整准确的信息,不落后于攻击者太多;
-
通常发布漏洞补丁需要一定时间,而即使发布了相应的漏洞补丁,很多场景下,用户也无法随心所欲地安装。是否有快速可靠的临时解决方案,可以规避漏洞导致的风险;
-
在处置资源有限的情况下,应该优先处理哪些漏洞,以最大程度减小漏洞风险的敞口;
-
如何把漏洞情报无缝集成到组织自身的日常漏洞处理流程和机制中。
四、漏洞情报应该怎么做?
1、全面的多维漏洞信息整合及属性标定
漏洞情报相对传统漏洞库区别最大的地方在于对漏洞本身技术层面以外维度的持续动态跟踪,一般的漏洞库的核心信息只会涉及软硬件影响面(厂商、应用及版本)和漏洞本身技术层面的评估(威胁类型、利用场景、危害大小等),这些信息还远远不够,是为了有效管控漏洞导致的风险,通常需要知道得更多:
-
漏洞是否在默认配置下存在,配置情况对漏洞可利用性影响极大,非默认配置下的漏洞其实际威胁往往远不如技术层面的定性看起来那么大;
-
漏洞相关的应用系统部署量有多大,这直接影响漏洞整体的威胁评估;
-
漏洞是否已经有了公开的技术细节、 Exploit 工具、概念验证代码(PoC),这会直接影响漏洞转变为现实的攻击;
-
漏洞是否已经有了野外的利用,这体现了漏洞是否已经从潜在威胁转化为了现实威胁;
-
漏洞是否已经被已知的漏洞利用攻击包或大型的僵尸网络集成作为获取对系统控制的途径,这标志着漏洞现实威胁的提升;
-
漏洞是否为0day或APT活动相关,意味着漏洞可能被用于攻击高价值的目标。
2、准确的漏洞所导致实际安全风险判定
3、可靠的综合性漏洞处理的优先级排序
4、及时的与组织自身相关漏洞风险通知
5、可行的包含详细操作步骤的处置措施
五、不同类型用户的漏洞情报选择
关于作者
汪列军 虎符智库专家 关注恶意代码分析、APT攻击事件与团伙的跟踪与挖掘,实现安全威胁情报的运营与产品化。
END
原文始发于微信公众号(虎符智库):漏洞情报:为什么、要什么和怎么做
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论