君哥有话说
漏洞运营和安全资产运营是快速收敛攻击面的最有效的两个措施,需要企业安全建设负责人首要关注,并投入大量精力确保漏洞管理的各项细节落地,包括漏洞发现、漏洞推修、漏洞验证等各个环节,这里面的细节很多,比如覆盖率、漏扫范围、漏扫技术细节(未登陆扫描、被动式扫描)、漏扫类别、漏洞修复方式、不能修的漏洞补偿性措施、漏洞考核、避免历史漏洞重现等等。推荐泉哥的一本书《漏洞战争:软件漏洞分析精要》
1 调研背景
在大型网络安全攻防活动前夕,互联网上又出现不少漏洞治理相关文章,部分微信群也纷纷进行热议。关于漏洞的治理,仍旧是网安行业经久不衰的话题。
漏洞治理的第一环便是 -- 漏洞发现。漏洞发现的途径较多,主要以漏洞情报、漏洞扫描、安全测试、红蓝对抗、安全设备日志与告警分析等方式展开。然而,令人头疼的要数漏洞情报产生的漏洞,每天会有大量的漏洞情报,但并不是所有的漏洞甚至高危漏洞都应该在企业内部进行处置。
安全人员也往往疲于奔命在漏洞监测、判断、推修、验证等工作上,由于实际水平的差距,做得好的企业并不多。为了拉平在漏洞情报方面处理信息的能力,故发起此次调研。
感谢参与者的无私分享,才会有这份简单、真实的调研报告。
1.1 核心关注
本次调研核心关注:
根据互联网上的漏洞情报,各行各业会关注并修复哪些漏洞?
判断这些漏洞是否必须修复,有哪些依据可供参考?
1.2 计划输出
“漏洞情报产生漏洞的处置依据”
“漏洞情报方面的必修漏洞清单”
2 基础信息
2.1 发布时间
本次调研活动共发起2次,第一次是在金融业企业安全建设实践微信群(05-13),另一次是通过个人的微信公众号“我的安全视界观”(05-16)向关注者推送,截止时间均在5月的最后一天,共收到36份答卷。
2.2 统计方法
针对多选题,选项百分比 = 该选项被选择次数÷有效答卷份数,每道多选题的各选项百分比之和可能超过百分之一百。
2.3 地理位置
参与调研的“分享者”主要还是集中在北京、广东和上海,虽然总人数不多,但具备一定的代表性,符合网安行业的热度分布,也进一步说明该报告的真实性。
2.4 所在行业
从参与调研的行业来看,金融最多。在输出下图时,为了偷懒直接去掉填写基本无意义的内容,比如信息安全行业、IT…;也没有对相同行业不同描述进行合并,比如银行和银行业…;故从数量上来说会比总数少且不是那么严谨。
3 结果分析
3.1 漏洞情报来源
在提供的4个选项中,通过国内安全媒介获取漏洞情报的占比高达93.75%。也就是说,100个从业人员中就会有93人通过关注安全媒介进行漏洞情报搜集。(这似乎与人们常说的漏洞情报、是否启动应急看朋友圈有所出入?)
在其他选项中,软件官方网站、上级通知、国外安全网站、公众号等也纷纷被提及。
3.2 情报获取方式
大多数的调研者主要通过乙方的服务推送获取情报,这部分可能包括:安全公司的公众号、邮件免费订阅等服务。
3.3 关注漏洞类型
毫无疑问,最吸引人关注的是RCE。在预置的14类漏洞中,高达11类占比在50%及其以上,笔者心里不禁窃喜,与大家的意见还是比较一致的。也有分享者提出应该添加移动类漏洞、系统层提权漏洞、其他办公软件的高危漏洞。(确实,此次列举的漏洞比较局限于Web类)
3.4 内部推修依据
受影响的资产
最低0.47元/天 解锁文章
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
