Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

來自 Cyentia and FIRST 的研究表示,EPSS 在預測刺探利用的表現非常強勁

圖片顯示一個大腦形狀的圖形、上面有一個晶片。

Tenable 贊助來自 Cyentia 和 FIRST 的研究,研究發現,雖然弱點刺探利用的類型差異很大,但 EPSS 預測刺探利用的能力卻越來越高。

每年公布的 CVE 數量持續攀升,也代表著預測哪些弱點需要弱點管理團隊的關注更加重要了。來自 Cyentia Institute 和 Forum of Incident Response and Security Teams (FIRST) 的最新研究發現,Exploit Prediction Scoring System (EPSS) 評分系統是一項有用的資訊,能協助團隊對弱點優先排序做出更明智的決策。

這分內容豐富的研究探討了刺探利用活動的時機、普遍性以及數量,同時也收集與分析了 EPSS 上的回饋意見。研究的成果就是這份首期的報告:「A Visual Exploration of Exploitation in the Wild」。該報告提供的資料點與分析能讓廣大且不斷成長的企業使用者和運用 EPSS 的安全產品社群獲益。在這個分成兩部分的部落格系列中,我們將探討該研究中的一些重要發現和精闢見解。第一部分的內容將可回答以下問題:

  • 被刺探利用的弱點比例有多高?
  • 刺探利用活動的典型模式是什麼?
  • 刺探利用在企業間廣為散播的情況如何?
  • EPSS 在預測刺探利用方面的能力表現如何?

被刺探利用的弱點比例有多高?

信不信由你,經公布的 CVE 數量已將近 25 萬個。而過去 7 年來,這個數字還以 16% 的速率增加。沒有人有時間或資源解決所有的弱點,也因此,判別和優先處理影響最大的弱點就變得至關重要。優先排序工作的一項關鍵步驟就是追蹤與預測會有多少弱點受到刺探利用。

在圖 1 中,您可以看到圖片左邊數年來累計共有 13,807 個 CVE 有刺探利用活動,這告訴我們已知受到刺探利用的弱點數量正逐步逼近 15,000 個。而在圖片右邊,您可以看到數年來已公布的 CVE 百分比,這告訴我們在所有已公布 CVE 當中,大約有 6% 曾受到刺探利用,而該比率維持得相當穩定。

圖 1:具有刺探利用活動的弱點

圖片顯示具有刺探利用活動的弱點圖
原文:Cyentia Institute 和 FIRST 於 2024 年 7 月發表的報告:Visual Exploration of Exploitation in the Wild

刺探利用活動的典型模式是什麼?

現在,讓我們看看刺探利用活動的典型模式…然而答案是:並沒有!

圖 2 顯示 2023 年來 5 種不同的 CVE 刺探利用活動。其中的每一種都有著獨特的刺探利用活動:

  • 第一個經歷過刺探利用的 CVE 壽命很短暫、而且非常稀少。
  • 第二個 CVE 在週間的刺探利用活動相對規律
  • 第三個 CVE 每天、乃至於每週都經歷刺探利用攻擊嘗試,尖峰時期在 12 月中
  • 第四個 CVE 顯示出每日持續的刺探利用,而在第一季至第二季特別高
  • 而最後一個 CVE 經歷的刺探利用活動頻率則非常高且持續

所以,這代表什麼?這表示刺探利用有各種不同的強度和持續時間。因此,最好不要將「受到刺探利用」視為非零即一,而是深入探討每一個變數,例如強度和持續時間,以便進行優先排序的工作。

圖 2:觀察到的刺探利用活動的差異性很高

圖表顯示觀察到哦刺探利用活動的差異性很大
原文:Cyentia Institute 和 FIRST 於 2024 年 7 月發表的報告:Visual Exploration of Exploitation in the Wild

 

刺探利用在企業間廣為散播的情況如何?

說到不要將「受到刺探利用」視為非零即一,讓我們探討一下在分散世界各地、超過 100,000 家企業中觀察到的刺探利用攻擊的普遍性。我們很驚訝地發現,並沒有很多企業看到攻擊程式試圖鎖定某個特定弱點。攻擊超過 1/10 企業的攻擊程式非常罕見 (不到 5%) 當弱點被提報受到猖獗利用時,通常人們會認為這些弱點到處受到攻擊。然而,事實卻非如此,這也代表我們不應將所有刺探利用報告一視同仁。

圖 3: 刺探利用活動的普遍性

圖片顯示刺探利用活動的普遍性
原文:Cyentia Institute 和 FIRST 於 2024 年 7 月發表的報告:Visual Exploration of Exploitation in the Wild


 

EPSS 在預測刺探利用方面的能力表現如何?

根據 FIRST 表示,EPSS 是一個「以資料為導向的工作,能夠預測某個軟體弱點受到猖獗利用的可能性 (機率)。」EPSS 每日會對所有已知 CVE 進行未來 30 天的預測,並提供從 0 到 1 (或 0 到 100%) 的機率評分,指出刺探利用的可能性。

如圖 4 所示,每個版本的 EPSS 都顯示出它在預測刺探利用可能性的表現越來越強大。共有 3 項指標來衡量表現,包括:

  1. 涵蓋率: 衡量優先處理刺探利用活動的完整性 (正確優先處理所有已知受刺探利用的弱點之百分比)
  2. 效率:衡量優先排序的正確性 (實際受到刺探利用而被優先排序以進行修復的弱點之百分比) 
  3. 工作負擔:衡量優先排序策略所產生的整體工作負載 (在所有弱點中,被判定須優先處理的弱點之百分比)

根據圖 4,您可以看到修復 EPSS 0.6 分以上的弱點,就能涵蓋約 60% 的弱點,效率達 80%,而修復 EPSS 0.1 分以上的弱點則變為 80% 的涵蓋率、效率 50%。每一家企業的風險承受度都不相同,這也會影響優先排序的策略。瞭解涵蓋率、效率和工作負擔指標,能協助企業對於他們用於弱點管理方案的特定策略做出更明智的決定。

圖 4:Exploit Prediction Scoring System (EPSS) 的表現

圖片顯示 Exploit Prediction Scoring System (EPSS) 的表現
原文:Cyentia Institute 和 FIRST 於 2024 年 7 月發表的報告:Visual Exploration of Exploitation in the Wild


 

這項研究非常酷。該怎麼辦?

如欲瞭解更多精闢見解,歡迎下載完整報告。 利用免費試用購買授權,充分運用 Nessus 10.8.0 中的 EPSS 支援功能。 敬請期待此部落格系列貼文的第二部分!

相關文章

您可以利用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練