数据新鲜度决定安全成败:“野外”漏洞与主动攻击的较量

本文深入探讨网络安全中“野外”漏洞与主动攻击的关键区别,分析漏洞优先级管理的挑战,介绍GreyNoise对MOVEit漏洞的观测案例,并提供CISA KEV等权威资源帮助企业建立动态风险评估体系。

数据新鲜度决定安全成败:“野外”漏洞与主动攻击的较量

“野外”这一术语广泛用于指代在受控环境外观察到的任何活动。这是安全领域的重要指标,因为犯罪分子通常不会以完全相同的方式重复他们的行为——如果他们这样做,创建有效的安全软件将会容易得多。但现实中,总会出现新的不可预测的情况。

许多漏洞优先级解决方案将其信息标记为“野外”,但不幸的是,这些属性大多基于其他来源的重复信息,在安全团队收到之前就已经过时了。

仅仅因为某件事曾经在“野外”被观察到,并不意味着它此刻正在发生。一个难以利用的竞争条件可能需要大量时间和精力,虽然它处于“野外”状态,但不需要像攻击者当前正在主动利用的漏洞那样紧急修复。

然而,如果攻击者正在利用您已知的软件漏洞进行恶意活动,那么您就面临着一个严重问题——这个问题紧急到值得冒着暂时影响业务连续性的风险来解决。

紧急程度的问题

对抗互联网范围内的机会主义利用是一个复杂问题,新漏洞被武器化的速度惊人。除了数量激增外,攻击者通过APT和僵尸网络以更高频率、更大规模地利用零日漏洞的能力也在提升。新漏洞披露与主动利用开始之间的时间大幅缩短,留给防御者反应和响应的时间极少。在互联网上,一个人观察到某事与其他人看到它之间的差异通常只有几分钟。当新漏洞被发现并公布时,网络犯罪分子竞相寻找易受攻击的服务器。现在,我们甚至看到攻击者在软件制造商意识到问题存在之前就开始利用的情况。

例如,Progress MOVEit Transfer SQL注入漏洞于2023年5月31日由Progress Software公开披露。然而,在披露之前,该漏洞已在野外被利用了数周。GreyNoise在几小时内就观察到了该标签的早期活动,并且这种活动一直持续到2023年底。

与AI相关的自动化水平使得在软件中发现漏洞比以往更容易。跟不上最新趋势的后果前所未有地严重,而且还在不断增长。如果您没有制定连贯的漏洞优先级策略,网络被攻破只是时间问题。

软件供应商的“狼来了”现象

在网络安全团队不断受到来自多个软件供应商的关键警报轰炸的环境中,很难确定什么构成真正的紧急情况。漏洞管理供应商需要理解客户面临的时间限制,并更加审慎地对待他们标记为关键漏洞的内容。他们还需要找到将攻击者行为知识纳入风险计算的方法,而不是假设风险是静态和不可变的。关于当前活动的信息通常难以获得,但风险一直在变化,我们的理解也需要相应改变。

调查“野外”情况的一种方法是使用代理——无论是人们在扫描软件、枚举软件、检查软件存在,还是实际利用软件。这有助于确定是否有人有能力利用此漏洞并正在尝试这样做。

一般来说,将软件漏洞武器化需要大量工作。这极具挑战性,需要先进的技术技能。我们有时会忘记,攻击者像企业一样深受利润驱动。如果攻击者认为某件事是死胡同,他们就不会愿意投入时间。因此,通过代理调查攻击者的活动是了解您需要关注特定漏洞程度的好方法。

在2023年第二季度,GreyNoise研究人员观察到一些常规互联网扫描习惯行为的重大变化。库存扫描——良性和恶意行为者都会对给定技术或特定漏洞进行定期检查——的频率和规模显著减少。现在绝大多数此类扫描来自良性来源。这一点,加上组织在新漏洞公布后被攻破的速度,强烈表明更有能力的攻击者群体拥有自己的“攻击面监控”形式,并利用它来避开现有防御。

这些针对性攻击有可能规避现有防御能力,使组织面临新一轮破坏性入侵。为充分保护其网络,防御者必须相应发展。

权威资源推荐

最终,网络安全数据不存在一劳永逸的单一真相来源。但是,确实有一些很好的资源可以帮助您确定优先级并消除噪音:

  • CISA已知被利用漏洞目录:权威的野外被利用漏洞来源,作为漏洞管理优先级的资源
  • 漏洞利用预测评分系统:数据驱动的预测性漏洞管理框架,帮助安全团队预测和缓解威胁
  • 通用漏洞评分系统:根据特征和潜在影响衡量漏洞的固有严重性
  • 信息安全搜索平台:对安全研究人员和分析师很有价值,可帮助查找暴露设备、跟踪威胁、准备鱼叉式网络钓鱼模拟等

利用这些资源并更好地理解如何动态评估风险因素,将使您能够采用更全面的漏洞管理方法。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次