CISA “已知已利用漏洞”分类计划加快打补丁速度

最新推荐文章于 2024-08-27 09:57:28 发布
最新推荐文章于 2024-08-27 09:57:28 发布
阅读量132 收藏
点赞数
文章标签: 安全 web安全 网络
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517736&idx=2&sn=3425c61c1f7349910eec3401ed3697cb&chksm=ea94b742dde33e546c960957e2e235031bcb2b96ad0872d9e1a991f1e02bdd4d0b3d8047af3b&scene=126&sessionid=0
版权

4b6adec59c130c89d6666cfebc553e90.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

由美国网络安全机构CISA维护的已知已利用漏洞 (KEV) 分类清单,加快了联邦机构的打补丁速度,目前该清单中已包含1000多个漏洞。

1d3c12c78ac16e65af38bbab5f1cefa3.png

KEV 分类清单发布于2021年11月,列出了经 CISA 证实已被用于恶意攻击中的缺陷,它配合约束性操作指令 (BOD) 22-01使用,要求联邦机构在某个特定时间范围内修复新增加的漏洞。

CISA 指出,自2021年11月,联邦机构已修复超过1200个 KEV 条目实例,其中700万个实例在2023年修复。整体而言,所含KEV漏洞暴露时间超过45天的情况在联邦机构中下降了72%,而在当地政府和关键基础设施中下降了31%。

CISA 指出,KEV 分类有助于联邦机构和其他注册实体大大加快打补丁速度,KEV 漏洞的平均打补丁速度要比非KEV漏洞快9天。对于分类中的面向互联网的问题,修复速度要比非KEV漏洞快36天。

CISA 强调称,KEV 分类的目的是帮助组织机构基于受影响产品的使用方式和利用影响,对漏洞管理进行优先处理。CISA解释称,“面向互联网的 web 服务器中的KEV 提供了对客户账户的特权访问权限,它们的修复优先级要比内部系统中提供咖啡厅目录中非特权访问权限的同样的KEV高。”

虽然KEV分类的初衷是降低网络安全风险,但组织机构在实现漏洞响应计划时,不应只依赖于该清单。CISA 解释称,只有在确认存在在野利用证据且存在修复方案如打补丁或缓解信息时,才会将新漏洞增加到清单中。

CISA 提到,“有时无法找到官方补丁。在这种情况下,我们协同其它通讯方式将漏洞告知公众,并提供应当采取的措施,以便从某些方面阻止漏洞利用。在任何情况下,如果不存在可采用的补丁或其它合适的缓解措施,那么我们不会将漏洞添加到KEV清单中。”

CISA 鼓励组织机构基于决策模型如 SSVC 等,对漏洞管理实施优先处理。CISA 指出,未来新增漏洞应当会变成极少情况,因为可以通过设计安全方式减少漏洞的普遍性。

CISA 提到,“根据国家网络安全战略的规定,我们将持续推进该生态系统在未来实现在产品上市前消除几乎所有KEV的目标。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

CISA 发布开源软件安全路线图

CISA 将Adobe ColdFusion中的这个严重漏洞列入必修清单

CISA 发布未来三年的网络安全战略规划

CISA 必修清单新增6个已遭利用的0day

CISA提醒:严重的 Ruckus 漏洞被用于感染 WiFi 接入点

原文链接

https://www.securityweek.com/faster-patching-pace-validates-cisas-kev-catalog-initiative/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

bcde05e32731099e72a28ddf97b0c29a.jpeg

0a26cd4e3cd1cc64f07ce2023fb346ea.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   92b7b0e76b0c402e8db01c2fd1d5efcc.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CISA网络安全事件和漏洞响应手册.pdf
11-17
3. **漏洞修复**:修复策略可能包括打补丁、配置变更、更新软件或硬件等。关键在于迅速实施,以降低风险。 4. **验证与测试**:修复后,需验证修复是否有效,避免新引入的问题,并通过测试确保系统的正常运行。 三...
1500 万个面向公众的服务容易受到 CISA KEV 漏洞的影响
热门推荐
网络研究观
04-05 1万+
对于一些漏洞,我们有 Shodan 的固有标签,但大多数情况下,我们进行了自己的分析,包括为每个受影响的产品识别特定的易受攻击的版本,并设计特定的 shodan 查询,使我们能够在可见的元数据中识别这些版本的迹象Shodan。Rezilion 的发现尤其令人担忧,因为被检查的漏洞CISAKEV 目录中是已知的并被突出显示为黑客积极利用漏洞,因此修补程序中的任何延迟都会保持很大的攻击面,从而为威胁参与者提供众多潜在目标。Shodan 表示,仍有高达 190,446 人容易受到此漏洞的影响。
漏洞管理流程
分享 GPU 管理与大模型推理相关技术实践
09-20 1532
在之前的文章中,我们分别讨论了和。而这两部分都是漏洞管理中涉及的关键要素。在今天的文章中,我们将一起系统地了解漏洞管理的概念及过程。首先来看安全漏洞的概念。安全漏洞是指允许攻击者破坏产品及其持有的信息的技术弱点。为了跟上添加到网络中的新系统、对系统进行的更改以及随着时间的推移发现新漏洞,此过程需要持续执行。而漏洞管理是识别、评估、处理和报告系统及其上运行的软件中的安全漏洞的过程。这与其他安全策略一起实施,对于企业优先考虑可能的威胁并最大限度地减少其“攻击面”至关重要。
MITRE 发布2022 CWE Top 25 榜单
smellycat000的专栏
06-29 1005
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士MITRE 发布2022年度CWE Top 25 最危险的软件弱点榜单。该榜单发布了当前最常见和最具影响力的软件弱点。这些弱点易于发现和利用,可导致攻击者完全接管系统、窃取数据或阻止应用运作。如下是2022 CWE Top 25 榜单,包括每个漏洞的总分。KEV 数量 (CVEs) 指的是CISA KEV 清单上 CVE...
2022年最新CISA考试证书申请教程
10-12
CISA考试证书申请教程 CISA(Certified Information Systems Auditor)是-information systems audit领域中的一个专业认证证书,由ISACA(Information Systems Audit and Control Association)颁发。该证书旨在...
CISA认证备考资料整理汇编.zip
08-25
CISA认证全新知识点全面总结 CISA教材与官方习题学习对应表 CISA高分考生经验分享及真题回忆 CISA考试真题知识点分布 CISA考试知识点变化总结讲义 CISA认证必考点梳理:无线技术(69页PPT) CISA 国内知名培训机构分...
CISA.rar_CISA book_cisa_cisa pudn_cisa. com_cisa资料百度云
09-14
CISA,全称为Certified Information Systems Auditor,是信息系统审计、控制和安全领域的国际认证,由ISACA(Information Systems Audit and Control Association)颁发。这个“CISA.rar”压缩包包含的是一份CISA...
CISA中文模拟题.pdf
05-08
CISA中文模拟题知识点详解】 1. 操作系统模式:操作系统有多种运行模式,其中“中断”(B)模式允许系统处理硬件中断和异常,是所有指令都能被执行的模式。这种模式下,系统可以执行高级操作,如管理内存、处理...
第135天:内网安全-横向移动&非约束委派&约束委派&数据库攻防
weixin_71529930的博客
08-24 506
非约束委派存在不安全性,所以微软在Windows server 2003中引入了约束委派,约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管。利用该身份就可以访问域控,记得用主机名去访问。(域控)访问具有非约束委派权限的机器。
证券行业加密业务安全风险监测与防御技术研究
qq_61863348的博客
08-27 883
摘要:解决证券⾏业加密流量威胁问题、加密流量中的应⽤⻛险问题,对若⼲证券⾏业的实际流量内容进⾏调研分析, 分析了证券⾏业加密流量⾯临的合规性⻛险和加密协议及证书本⾝存在的⻛险、以及可能存在的外部加密流量威 胁,并提出防御策略和措施。关键字:证券加密业务、加密应用、加密流量、商用密码安全评估、加密风险、加密威胁、监测防御数据爆发式增长的DT(Data technology)时代,加密技术是数据传输的重要保护手段。随着互联网和企业内部流量场景的加密化趋势快速增长,证券行业也面临着更加迫切的加密需求。证券行业涉及
终端防火墙软件功能 | 在终端设备上启用防火墙!终端安全小课堂开讲啦
2401_86434954的博客
08-24 452
终端设备的安全性直接关系到企业的整体网络安全,随着网络威胁的日益复杂和多样化,启用并合理配置终端防火墙软件是保障终端安全不可或缺的一环。今天,我们将走进终端安全小课堂,详细解析中的防火墙功能,为您揭开其保护终端安全的神秘面纱。
Metasploit漏洞利用系列(十):MSF渗透测试 - 震网三代(远程快捷方式漏洞)实战
2402_86373248的博客
08-24 710
在本系列的第十篇中,我们将深入探讨如何利用Metasploit Framework (MSF) 来利用著名的震网三代(Stuxnet三代)中的一个远程快捷方式漏洞(LNK漏洞)。虽然“震网三代”并非官方术语,而是为了描述一个类似震网蠕虫的高级威胁,但我们将以此为背景,探索利用Windows快捷方式(LNK)文件的漏洞进行渗透测试的技术细节。漏洞描述:想象一个虚构的场景,其中存在一个类似于CVE-2017-8464的LNK漏洞,允许攻击者通过恶意快捷方式文件在受害者计算机上执行任意代码,无需用户交互。
安全架构设计
wangbuji的博客
08-22 540
系统安全架构设计,主要包含:物理安全网络安全,系统安全,数据安全,应用安全。完整性(Integrity)是指要防止系统的数据和资源在未经授权情况下被修改;机密性 (Confidentiality)是指要防止系统的数据和资源在未授权的情况下被披露。安全架构需求分析主要包括以下几个方面:明确系统安全的最终目标,例如保护用户隐私、防止未授权访问等。根据系统的功能和业务特点,划分出不同层次的安全需求,并给予相应的优先级。对系统可能面临的安全威胁进行详细的分析和识别,包括外部攻击、内部员工策反等。
【鸿蒙学习】HarmonyOS应用开发者高级认证 - 应用开发安全(含闯关习题)
一个不断前行的程序者
08-24 1804
隐私保护是尊重个人权利、增加用户信任、确保个人信息安全的重要措施,也是法律法规的要求。隐私是用户的基本权利,HarmonyOS非常重视用户的隐私。通过隐私保护措施,可以降低个人信息遭到滥用的风险,保护用户的财产和利益。实施良好的隐私保护措施不仅有助于建立良好的用户关系,还有助于保护用户和企业的利益。HarmonyOS提供了系统安全、IDE/工具安全以及应用安全生态等三个层面的安全能力。在系统安全层面,为了保护应用能够运行在安全、可靠的系统上,保证其自身业务的安全可靠(例如安全支付、安全登录、安全聊天等)
【奇某信-注册/登录安全分析报告】
08-24 918
奇某信作为安全领域的巨头,创始团队来自奇虎360, 具备不凡的实力, 专注于网络空间安全市场,向政府、企业用户提供新一代企业级网络安全产品和服务,但在验证方面不够重视用户体验, 采用的还是老一代的图形验证码已经落伍了,按传统手法,对图形增加了干扰和扭曲, 导致用户体验很差,但在AI普及的今天,简单的图形验证码被识别变得非常容易导致安全隐患, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“
网络】HTTPS——HTTP的安全版本
2301_80224556的博客
08-21 1927
加密和解密首先需要简单了解一下 加密与解密 的概念加密:把明文经过一系列变换,形成密文解密:把密文经过一系列变换,还原成明文明文就是我们能看懂的信息,密文就是我们看不懂的东西。比如这篇博客现在就是以明文的形式显示的,但如果我将其变为火星文,所有人都看不懂,那它就变成密文了在加密与解密的过程中需要一个或者多个辅助数据,我们将其称为「密钥」加密是上锁,解密就是开锁,无论是上锁还是解锁,都需要钥匙,也就是「密钥」
Linux系统下的容器安全:深入解析与最佳实践
w651428055的博客
08-22 1064
此外,随着边缘计算和物联网(IoT)的兴起,容器安全的边界将扩展到更多的设备和场景,要求安全策略的灵活性和适应性进一步增强。在云计算和微服务架构的推动下,容器技术因其高效、可移植和灵活的特点,已经成为现代软件开发和部署的首选方案。然而,容器的广泛应用也带来了新的安全挑战,尤其是在Linux系统下,容器安全的实现和维护变得尤为重要。通过实施有效的安全策略和最佳实践,可以显著提升容器环境的安全性,保护数据和系统的完整性和稳定性,为容器技术的广泛应用奠定坚实的基础。
CodeQL 从零到精通第 3 部分:使用 CodeQL 进行安全研究
技术超强的网络安全平台
08-25 1218
在CleartextLoggingCustomizations.qll中,我们可以看到几种接收器:首先,有 LoggingAsSink 接收器,它使用LoggingConcepts 模块中定义的接收器,但还有另一个定义的接收器类 — PrintedDataAsSink。我们鼓励您使用新配置,但出于历史原因,我们在此处包含旧配置 — 有许多关于 CodeQL 的文章、会议演讲、研究论文以及一些较旧的 CodeQL 查询都使用旧配置,在这里对其进行简要描述应该可以更容易地理解旧查询的工作原理。
此站点的连接不安全,解决方法
最新发布
joySSL_的博客
08-27 397
此站点的连接不安全”问题可能由多种原因引起,但通过上述解决方案和预防措施,您应该能够解决并避免此类问题的发生。首先,我们需要明白“此站点的连接不安全”这一提示通常意味着网站没有使用HTTPS协议进行加密,或者使用了过期的安全证书。:如果SSL证书不是由受信任的证书颁发机构(CA)颁发的,或者证书链中的某个环节存在问题,浏览器也会显示连接不安全的警告。:SSL证书具有有限的有效期,通常为1到2年。:如果服务器配置不正确,如HTTPS端口设置错误、证书绑定错误等,也可能导致浏览器显示连接不安全的警告。
CISA模拟试题与答案解析
CISA模拟题-含答案.pdf 这篇资源提供了CISA(Certified Information Systems Auditor,注册信息系统审计师)的模拟试题及答案,是备考CISA考试的重要参考资料。CISA认证涉及信息系统审计、控制和安全等领域,对于IT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值