Gartner:VPT技术原理 ——如何确定网络攻击面上的风险优先级

最新推荐文章于 2023-09-22 11:30:05 发布
最新推荐文章于 2023-09-22 11:30:05 发布
阅读量575 收藏 1
点赞数 1
文章标签: gartner 安全漏洞 网络安全

无论公司规模大小,您都永远没有足够的资源来解决网络攻击面上的每一个漏洞。确定优先级至关重要。

安全团队需要了解企业环境中的漏洞:

各种规模的组织都正被其网络中已经存在的大量漏洞所覆盖。而且,随着现代网络的扩大化和多样化,这个数字仍在飞速增长——这导致了一个不断扩展的、动态的攻击面。
负责安全的领导需要了解企业环境中的漏洞,并使用这些数据来确定其团队工作的优先级。
但是有一个问题:我们今天处理的漏洞比以往任何时候都多。事实上,漏洞的数量在过去几年里几乎增加了两倍【[ 来自Tenable研究报告]】。

传统的方法正在变得落后:

仅在2019年,就披露了17,313个新的漏洞。这意味着,安全团队平均每天都面临着47个新的漏洞。由于资源和时间的缺乏,他们需要一种简单的优先级判定方法来考虑优先要修复哪些漏洞。
许多组织正在使用传统的方法,如常见漏洞评分系统(CVSS)来尝试对修复漏洞进行优先级排序。大多数企业尝试修复所有高分和关键漏洞(CVSS得分7及以上)。有些企业可能会选择只集中关注关键漏洞(CVSS评分 为9分及以上)。

“CVSS旨在识别漏洞的技术严重性。相反,人们似乎想知道的是,漏洞或缺陷给他们带来的风险,或者是他们面对漏洞应该有如何的反应速度。——卡内基梅隆大学【[ 来自“Towards Improving CVSS”——卡内基梅隆大学软件工程研究所,2018年12月]】”

CVSS将太多的漏洞归类为高危漏洞和严重漏洞:

根据Tenable研究报告,56%的漏洞的CVSS评分为7或更高,因此被认为是高危或严重漏洞(见图1)。这意味着,对于每10万个漏洞,CVSS规定安全团队必须修复其中的5.6万个漏洞。因此,不难看出,如果使用CVSS,工作负荷就会迅速失控,尤其是考虑到大多数大型企业都有数百万个漏洞。

图1:CVSS将大多数漏洞评分为高漏洞或严重漏洞

    图1:CVSS将大多数漏洞评分为高漏洞或严重漏洞

更重要的是,CVSS是一种完全无效的漏洞修复优先级参考方法。这是因为CVSS是没有风险属性的。由于大多数CVSS分数是在漏洞发现后的两周内分配的,因此该分数仅理论性的参考了漏洞可能带来的风险。这会导致安全团队的大部分精力被浪费在错误的漏洞上。更糟糕的是,他们忽视了许多对业务构成直接威胁的关键漏洞。

CVSS是区分真实风险的一个较差的指标:
即使您的团队能够解决所有得分7分及以上的漏洞,目前也只有不到四分之一(24%)的可利用的漏洞(见图2)。换句话说,如果您使用CVSS7+的策略来确定风险管理工作的优先级,表示您正在浪费团队76%的时间去修复短期内几乎没有风险的漏洞。
图2:基于CVSS基本分数的可利用性分析

          图2:基于CVSS基本分数的可利用性分析

更糟糕的是,将近一半具有短期内可被利用性的漏洞(44%),CVSS基本得分低于7(见图2)。然而,基于CVSS7+的策略,您可能会完全忽略这些高风险漏洞。

攻击面正在扩大:

攻击面也在扩大,造成了一个被攻击者利用的缺口。除了传统的IT资产之外,现代攻击面也需要您考虑云环境和OT环境中的弱点。问题是,当攻击者正在扫描所有这些环境,以找到最简单的攻击方法时,传统的漏洞管理方法仅限于扫描传统IT环境,因此您永远不会发现云资产和OT资产中的任何弱点。

基于风险的漏洞管理方法是很有必要的:

基于风险的漏洞管理可以帮助安全团队在企业环境中处置漏洞。他们不能完全依赖于CVSS,而是可以将其与几十个基本的漏洞特征结合起来,以确定其严重性。然后,可以将所有这些数据与其他关键风险指标联系起来,包括受影响资产的严重程度、威胁和利用情报,以及对当前和未来可能发生的攻击者活动的评估。
此分析的结果可使安全团队能够集中关注最重要的漏洞和资产。他们不会把时间浪费在利用率低的漏洞上,而是可以解决对业务构成风险最大的问题。

将数据转化为决策:

有效确定每个漏洞对组织造成的风险级别所需的数据和分析量不能是由人类单独完成的,因此需要通过自动化来扩展此过程。
这种自动化甚至可以包括基于机器学习的技术,这些技术可以根据过去和当前关于该漏洞、资产和攻击者活动的信息,来预测在不久的将来该漏洞被利用的可能性。此分析将在几秒钟内为组织的每个漏洞获得风险分数,使安全团队能够首先关注最重要的问题。

利用科学的数据预测风险:

Tenable研究报告分析了11万个漏洞,以构建基于机器学习的模型,这是 Tenable.io(在云端)和Tenable.sc(在本地)固有的能力。预测优先级是基于漏洞被用于网络攻击的概率对漏洞进行评分。
该模型考虑了风险的150多个方面,包括来自这7个数据源的漏洞特征:
• 传统威胁方式
• CVSS
• 美国国家漏洞库
• 数据库
• 传统攻击
• 有漏洞的软件
• EXP
• 传统威胁来源

通过预测优先级,安全团队可以通过首先关注最有可能被利用的3%的漏洞,从而显著提高其修复效率和修复有效性。

文章内容译自Tenable: 《Whitepaper-How to Prioritize Risk Across the Cyberattack Surface》

零零信安
关注
基于漏洞优先级技术的综合动态风险评估方案研究
weixin_70923796的博客
06-09 631
已有漏洞评估技术虽然可以对系统的漏洞进行挖掘并基于CVSS等指标对漏洞进行评分和定级,但是对漏洞的潜在威胁和影响程度的评估不够全面和准确,存在误报、漏报以及优先级定级不准确的问题,有时会产生大量的虚警,需要人工二次验证和分析。同时,为了保持资产画像的实时性,需要定期更新资产信息,包括新增资产的识别、已有资产信息的更新和不再使用资产的移除等。通过以上动态调整机制,基于漏洞优先级技术的综合动态风险评估方案可以根据资产变化和威胁情报的动态更新,及时调整和修正评估结果,提高评估的准确性和可靠性。
Gartner VPT技术原理 ——Tenable:专注于构成风险最大的漏洞
miffy_00sec的博客
08-13 641
Gartner表示: “到2022年,使用基于风险漏洞管理方法的组织,会减少80%的被攻击可能”【[ 选择脆弱性评估解决方案的指南,Gartner,2019年4月]】 传统的漏洞管理方法无法适应当今的数字时代 不管您在网络安全领域工作了多久,您都一定知道漏洞管理对于识别和降低网络风险至关重要。为什么呢?因为在每一次重大的网络攻击的背后,都有一个未被解决的漏洞。 但是,有一个大问题:在过去的20年里,攻击面在不断演变,漏洞管理人员却未能跟上演变的步伐。 当今的IT环境正在不断变化。在数字转型的推动下,现.
漏洞优先级技术VPT)导论
miffy_00sec的博客
09-06 1390
1. 背景介绍 在2020年9月的“Gartner安全风险与管理峰会”上发布的《2020-2021 Top Security Projects》中,首次正式提出“Risk-Based Vulnerability Management”(基于风险的弱点管理)项目,作为TOP 10的第二项(在2018和2019年叫“符合CARTA方法论的弱点管理项目”,于2020年进行了重新定义)。 其项目关键点描述是:要意识到永不可能100%打补丁;和IT运维联合行动(创造双赢);利用现有的扫描数据和流程;用VPT(“Vu
Visual Prompt Tuning (VPT)
wandererXX的博客
11-16 3351
VPT阅读笔记
零零信安王宇:通过基于VPT风险管理 用20%的时间去解决80%的风险
miffy_00sec的博客
07-30 204
7月29日,ISC 2021大会迎来了“技术日”主题,在这一天的“重新定义安服——解构未来安服蓝图论坛”中,来自于初创企业——零零信安的创始人兼CEO王宇为大家带来了“基于VPT(弱点优先级技术)的风险管理服务”的主题演讲,围绕Gartner的“基于风险的弱点管理”关键技术点以及Tenable的实践展开,并分享了自己针对这方面的思考以及零零信安的解决方案。 王宇在演讲伊始先引出了风险、弱点和漏洞,并指出他们之间的关系——漏洞属于弱点的一部分,弱点属于风险的一部分。在这三个词汇中,风险漏洞是最为常见的,.
网络安全漏洞管理十大度量指标
网络安全
11-15 4658
当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等网络安全攻击事件层出不穷。因此,加强对漏洞管理的迫切性、重要性日趋突出。国家层面已经出台相关法律法规、标准规范,通信、金融等行业层面出台监管规定、管理规范,企业层面也正在逐步形成漏洞管理相关制度。
vpt-web:Shelloid 虚拟专用传输 (VPT) Web 应用程序和服务
07-04
此应用利用了Shelloid技术,该技术是一种专为虚拟网络环境设计的传输机制,允许用户通过Web界面进行远程操作和数据交换。在本文中,我们将深入探讨Shelloid VPT Web应用程序的核心概念、技术细节以及JavaScript在...
VPT.zip_VPT_角点_角点检测
09-22
VPT.zip_VPT_角点_角点检测】是一个关于图像处理和计算机视觉的资料包,主要聚焦在“角点检测”这一重要概念上。角点是图像中具有显著特征的点,它们在图像变换中保持不变性,因此在许多应用场景中,如目标识别、...
VPT角点检测技术深入解析与应用
资源摘要信息:"VPT.zip_VPT_角点_角点检测"文件主要关注的是角点检测技术。角点作为图像中非常重要的特征点,是图像处理与计算机视觉中的研究热点。角点检测技术广泛应用于图像匹配、目标识别、运动跟踪、3D重建等多...
抛物线法matlab源码-MIT_6.00SC_VPT_Learn_Together:如2011年MIT6.00SC讲授的《计算机科学与程序设
05-19
抛物线法matlab源码MIT_6.00SC_VPT_Learn_Together 如2011年MIT 6.00SC讲授的《计算机科学与程序设计导论》 :Japanese_congratulations_button: 编程是穿衣服时最有趣的事情……-第1课的John Guttag 2019年1月12日...
Gartner发布漏洞评估市场指南
lurenjia404的博客
09-22 494
Gartner发布漏洞评估市场指南:技术和市场趋势、典型用例及40家全球主要厂商和产品方案 漏洞管理是一项关键的安全运营活动,可帮助组织识别资产、减轻威胁并满足合规性要求。安全和风险管理领导者可以使用本指南来了解 VA漏洞评估技术,作为更广泛的风险管理计划的一部分。
Gartner发布2023年安全运营技术成熟度曲线
lurenjia404的博客
08-02 2248
安全运营技术和服务通过识别威胁和漏洞暴露来保护 IT/OT 系统、云工作负载、应用程序和其他数字资产免受攻击。安全和风险管理领导者可以利用这项研究来制定战略并提供安全运营能力和功能。
攻击面管理:企业向主动安全转变的开始
分享 GPU 管理与大模型推理相关技术实践
08-23 374
要了解攻击面管理,首先要定义攻击面(Attack Surface)。攻击面是可以从 Internet 访问并处理或存储企业数据的所有硬件、软件、SaaS 服务和云资产。已知资产:库存和管理的资产,比如公司网站、服务器以及在上面运行的依赖项未知资产:影子 IT(Shadow IT)或孤立的 IT 基础设施,这些基础设施超出了企业安全团队的权限,比如被遗忘的开发网站或营销网站恶意资产:由恶意软件、 域名仿冒域名或冒充企业域名的网站或移动应用程序等恶意攻击者构建的恶意基础设施。
漏洞管理失败?企业漏洞管理面临的三大困境
olga5abl的博客
03-11 7920
基于网络攻击面,持续发现风险最大漏洞
VTP技术及相关配置
热门推荐
whoim_i的博客
12-11 1万+
目录VTP介绍VTP配置 VTP介绍 VTP(VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中,配置VLAN工作量大,可以使用VTP协议,把一台交换机配置成VTP Server, 其余交换机配置成VTP Client,这样他们可以自动学习到server 上的VLAN 信息。 VTP模式 描述 Se...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8549
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2000-2021年中国科技统计年鉴(分省年度)面板数据集-最新更新.zip
11-14
2000-2021年中国科技统计年鉴(分省年度)面板数据集-最新更新.zip
PPT保护工具PDFeditor专业版-精心整理.zip
最新发布
11-14
PPT保护工具PDFeditor专业版-精心整理.zip
Spring Boot Docker 项目:含项目构建、镜像创建、应用部署及相关配置文件,容器化部署.zip
11-14
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值