从CVE洪流中筛选:如何优先处理新兴威胁以应对实际影响

本文详细介绍了Bishop Fox如何通过分层评分系统对CVE进行优先级排序,结合威胁情报、资产识别和漏洞利用分析,有效过滤低风险威胁并聚焦高影响力漏洞,提升客户安全响应效率。

当流行软件中披露新的通用漏洞与暴露(CVE)时,安全团队通常需要争分夺秒地确定其对攻击面的影响,以防攻击者武器化利用并针对易受攻击的端点。由于这种影响分析可能极其耗时,我们的客户依赖我们的攻击面管理(ASM)托管服务来处理繁重的工作,包括通过威胁情报、资产识别、指纹识别、漏洞利用开发和利用来分析新的CVE。

如果我们的团队确定某个CVE达到我们的报告阈值并影响客户攻击面,它将被分类为新兴威胁(ET),并执行工作流以通知客户任何受影响的资产。自2019年以来,随着我们不断演进这一计划,我们发现ET执行需要比正常调查工作流更快的节奏,并且对高调CVE的情境意识提前起步对于成功至关重要。

考虑到新披露CVE的庞大数量(2024年近40,000个),我们发现任何将这些提炼为可操作列表的策略都可以大大改善我们的反应时间和通知客户的速度。出于这一需求,威胁启用与分析(TEA)团队成立,负责监控新披露CVE的持续流动——为每个分配优先级并确定对我们客户攻击面的影响。

为什么CVSS不够

通用漏洞评分系统(CVSS)是用于评估漏洞严重程度的事实标准,虽然它可以是ET优先级排序的有用部分,但它并不能讲述完整的故事。往往还有其他对实际风险至关重要的属性未被CVSS捕获。

例如,一个在Web应用技术中的未经身份验证的远程代码执行(RCE)漏洞,如果零实例暴露在互联网外部,可能CVSS评分为9.9,但考虑到其使用不广泛,客户受影响的机会为零。另一个常见的“陷阱”是我们经常看到的在常见软件中具有高CVSS评分的CVE,需要特定的非默认配置,从而消除了满足利用必要先决条件的易受攻击实例的实际可能性。为了应对这些情况,TEA开发了一个基于属性的优先级排序系统,以提供更全面的实际影响视图。

TEA分层优先级排序

为了从噪声中区分信号,我们的团队设计了一个分层评分系统(1-3),利用不同属性按重要性对CVE进行排名。使用这一系统,我们能够基于 disqualifying 属性立即排除某些CVE,同时提升具有我们确定反映客户实际影响属性的CVE的优先级。

  • 第1层(关键威胁)- 对客户攻击面的迫在眉睫的影响。
  • 第2层(可能威胁)- 对客户攻击面的潜在影响。
  • 第3层(低威胁)- 对客户攻击面的不太可能的影响。

过滤噪声

由于ASM服务旨在模拟真实世界的对手,我们发现某些CVE可以根据我们对通常武器化用于大规模利用的攻击的了解,从我们的ET优先级排序过程中排除。通常,攻击者倾向于易于利用的CVE,这些CVE能让他们进入系统或提供对敏感数据的访问。以下属性对攻击者吸引力较低,因为它们增加了不必要的利用摩擦。

  • 需要身份验证
  • 需要用户交互
  • 拒绝服务漏洞
  • 本地漏洞(需要先前的访问)

提炼信号

在做出必要的排除后,我们将新披露的CVE与以下关键属性进行比较,这些属性使我们的团队能够识别可能影响客户的ET。根据这些属性中哪些与CVE相关或不相关,决定了每个ET工作流的层级和后续紧急性。

  • 在企业中常见
  • 代码执行/特权访问/重大信息泄露
  • 在野外被利用(KEV)
  • 公共概念验证可用
  • 默认配置

降低过度炒作、低影响CVE的优先级

我们经常看到新披露的CVE通过社交媒体、博客文章和新闻网站获得高可见度和炒作,但不一定像最初认为的那么严重。虽然情境意识对于随着新信息发展跟踪威胁很重要,但如果没有可靠的优先级排序方法,安全团队会浪费宝贵的时间和资源追逐几乎没有影响的潜在威胁。

以下是一些 notable 例子。

  • CVE-2025-24813 – 一个影响Apache Tomcat的远程代码执行(RCE)漏洞被广泛报道,但发现仅影响特定非默认设置配置错误的应用程序,大大减少了易受攻击的实例。
  • CVE-2024-47176 – 一个影响CUPS打印服务的RCE获得了媒体关注,但随着利用细节的揭示,很明显易受攻击的服务在Unix发行版上默认未安装,并且默认配置限制了对易受攻击服务默认端口的远程访问。
  • CVE-2024-53677 – 一个影响Apache Struts的RCE漏洞获得了广泛关注,但鉴于Struts应用程序的自定义性质,易受攻击的文件上传功能不易识别和/或利用。

当上述CVE被披露时,TEA团队通过将它们映射到我们的关键ET属性,利用我们的分层优先级排序过程,并发现所有都 fall 在第3层——低威胁类别中,如下所示。

图1:AI生成的内容可能不正确

优先处理高调、关键影响CVE

相反,有些新披露的CVE获得媒体关注和炒作是绝对有道理的。这些是映射到所有ET关键属性的CVE,需要最快的响应,因为它们是大规模扫描和利用的理想候选。以下是近年来具有广泛影响、高影响和最小利用努力的ET例子。

  • CVE-2024-24919 – 一个影响Check Point安全网关设备的任意文件读取漏洞在观察到野外利用报告导致凭证泄露和网络内横向移动时获得了 significant 关注。
  • CVE-2024-23897 – 一个影响Jenkins CLI命令解析器的任意文件读取漏洞,可能允许攻击者读取文件,并在某些情况下获得远程命令执行(RCE)。
  • CVE-2023-3519 – 一个影响NetScaler(前Citrix)ADC和NetScaler Gateway的RCE漏洞,在披露后不久被用于大规模利用活动。

上述CVE被映射到我们的关键ET属性,并确定属于第1层——关键威胁类别,如下所示。

图2:AI生成的内容可能不正确

从信号到可操作情报

每年有数千个CVE被披露,试图识别哪些真正重要时很容易感到不知所措。如果我们利用有效的优先级排序过程,突然之间,梳理这些CVE的看似不可逾越的任务变得可实现。

尽管很容易被夸大的CVSS分数和安全 theater 所吸引,但专注于 proven 确定实际影响的属性对于 cut through 噪声至关重要。这一策略 enables 从 reactive、 frantic 心态转向 deliberate、 informed 方法——一种通过将焦点与实际威胁对齐来更有效降低风险的方法。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次