AlexRedSec
@alexredsec
GreyNoise выпустила довольно неоднозначное (по моему мнению) исследование, посвященное феномену "возрождающихся" (resurgent) уязвимостей — старых, часто забытых уязвимостей, которые спустя годы вновь становятся объектом эксплуатации и представляют значительный риск для организации.
Методология исследования:
Анализировались данные о реально эксплуатируемых уязвимостях, в доступных из сети Интернет системах. Уязвимости с датой регистрации между 2010 и 2020 гг.
Для каждой уязвимости определялась "дельта" — разница между датой публикации и моментом, когда GreyNoise впервые фиксировала ее активную эксплуатацию (на основе информации от своих сенсоров или данных из CISA/VulnCheck KEV). Чем больше "дельта", тем более "возрождающейся" считается уязвимость.
На основе полученных данных авторы предложили следующую классификацию уявимостей в зависимости от дельты их "возрождаемости":
Eternal — уязвимости, которые эксплуатируются постоянно, без каких-либо заметных перерывов, т.е. не относящиеся к категории "возрождающихся".
Utility — часто эксплуатируются, но с перерывами, всплески активности сменяются периодами затишья.
Periodic — эксплуатация волнообразна, с непредсказуемыми, но повторяющимися всплесками.
Black Swan — долгое время остаются незаметными, но могут внезапно стать объектом активных эксплуатаций, что делает их самыми непредсказуемыми и опасными.
И сформулированные авторами главные выводы:
С 2017 года наблюдается резкий рост числа "возрождающихся" уязвимостей, некоторые из них впервые эксплуатируются спустя 3-5 лет после раскрытия.
Более 50% всех "возрождающихся" уязвимостей и 67% "черных лебедей" (Black Swan) затрагивают сетевые периметровые устройства и ПО (маршрутизаторы, VPN, межсетевые экраны).
Большинство этих уязвимостей имеют высокую оценку CVSS и активно эксплуатируются в APT-атаках.
GreyNoise рекомендует:
Неужели многие компании настолько преисполнились приоритизацией, что закрывают только уязвимости из каталога CISA KEV и VulnCheck KEV?
Короче, с точки зрения аналитики и статистики исследование интересное, но не совсем понятно практическое применение🤷♂️
Да, приоритизация устранения уязвимостей важна, но ориентироваться только на один критерий эксплуатации в дикой природе и игнорировать плановый патч-менеджмент нельзя!
Иначе придётся чёрных лебедей ловить в инфраструктуре🫠
#cve #prioritization #vm #resurgent
Методология исследования:
Анализировались данные о реально эксплуатируемых уязвимостях, в доступных из сети Интернет системах. Уязвимости с датой регистрации между 2010 и 2020 гг.
Для каждой уязвимости определялась "дельта" — разница между датой публикации и моментом, когда GreyNoise впервые фиксировала ее активную эксплуатацию (на основе информации от своих сенсоров или данных из CISA/VulnCheck KEV). Чем больше "дельта", тем более "возрождающейся" считается уязвимость.
На основе полученных данных авторы предложили следующую классификацию уявимостей в зависимости от дельты их "возрождаемости":
Eternal — уязвимости, которые эксплуатируются постоянно, без каких-либо заметных перерывов, т.е. не относящиеся к категории "возрождающихся".
Utility — часто эксплуатируются, но с перерывами, всплески активности сменяются периодами затишья.
Periodic — эксплуатация волнообразна, с непредсказуемыми, но повторяющимися всплесками.
Black Swan — долгое время остаются незаметными, но могут внезапно стать объектом активных эксплуатаций, что делает их самыми непредсказуемыми и опасными.
И сформулированные авторами главные выводы:
С 2017 года наблюдается резкий рост числа "возрождающихся" уязвимостей, некоторые из них впервые эксплуатируются спустя 3-5 лет после раскрытия.
Более 50% всех "возрождающихся" уязвимостей и 67% "черных лебедей" (Black Swan) затрагивают сетевые периметровые устройства и ПО (маршрутизаторы, VPN, межсетевые экраны).
Большинство этих уязвимостей имеют высокую оценку CVSS и активно эксплуатируются в APT-атаках.
GreyNoise рекомендует:
пересмотреть процедуры патч-менеджмента и мониторинга, уделяя внимание не только новым, но и старым уязвимостям, особенно на сетевых периметровых устройствах...
Неужели многие компании настолько преисполнились приоритизацией, что закрывают только уязвимости из каталога CISA KEV и VulnCheck KEV?
"Хай вулна на маршрутизаторе, торчащем в Интернет? А, пофиг, подождем три года пока эксплуатировать начнут"
Короче, с точки зрения аналитики и статистики исследование интересное, но не совсем понятно практическое применение🤷♂️
Да, приоритизация устранения уязвимостей важна, но ориентироваться только на один критерий эксплуатации в дикой природе и игнорировать плановый патч-менеджмент нельзя!
Иначе придётся чёрных лебедей ловить в инфраструктуре🫠
#cve #prioritization #vm #resurgent
👍 8
18 1.3K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram