量化攻擊者的先發優勢

Tenable Research 已發布一份報告，說明從特定弱點被公開而遭到利用，到首次進行弱點評估之間的時間落差。

在這份研究中，我們於 2017 年年底三個月內經過 200,000 次的弱點評估掃描，分析了 50 個最普遍的關鍵及高嚴重性的弱點，並將分析結果公諸於世。我們利用這些弱點推導出「漏洞可利用時間」和「評估時間」來計算中位數差異值。

差異值代表防禦者和攻擊者可以在這場戰爭中做出的第一步。儘管這無法代表雙方完整的 OODA 循環 (觀察、確定方向、決定及行動)，但能確實表示贏在起跑點的一方，以及最終獲得勝利的一方。

負差異值是指攻擊者有一段空窗期，可以在防禦者認知到處於風險之前先利用這些弱點。

攻擊者正遙遙領先

我們的分析顯示中位數差異值為 -7.3 天。相較於 12.8 天的中位數評估時間，可利用漏洞的中位數時間為 5.5 天。平均而言，這給予攻擊者領先防禦者七天的優勢。

有 76 % 已分析弱點為負差異值。因此，依照逐一弱點來看，攻擊者經常掌握先發優勢。

差異值為正數時，通常是因為漏洞需要很長時間才會遭到利用，而不是防禦者的掃描頻率較快。事實上，在分析的弱點中，有 34% 的弱點在揭露的當天就遭到利用，這樣的情況很嚴重。但是當我們深入研究個別漏洞時，卻發現有趣的現象。

在我們分析的 50 個最常見弱點中，有 24% 的弱點當時正遭到惡意程式碼、勒索軟體或漏洞攻擊套件廣為利用。根據媒體討論，更有 14% 被視為非常嚴重。此樣本集包含 Disdain 和 Terror 漏洞攻擊套件、Cerber 和 StorageCrypt 勒索軟體，甚至是 Black Oasis 等 APT 組織安裝 FinSpy 監控軟體而鎖定的弱點。

奪回優勢

大多數資安專業人員都有正在攻擊者身後追趕的預感，但是量化攻擊者的領先態勢有助於判斷落後差距，以及需要採取哪些行動來縮小差距。

許多組織都會每月或每季執行弱點評估。這主要受到內部因素左右，而非外部因素，例如公司設定的每月修補程式週期。我們容易忘記還有一個主導交戰規則的對手。雖然我們無法控制攻擊者決定發動攻擊的時間或方式，但我們可以掌控自己的環境。

根據我們自己對掃描行為的分析顯示，超過 25% 的組織正在執行弱點評估，其頻率為兩天一次或更短。這是一項可實現的目標，並且會減少攻擊者掌握大多數弱點先發優勢的情況。但是，這個過程中固有的延遲仍有風險存在，而且無法單靠改善掃描頻率來解決。

對於控管弱點和 Cyber Exposure 較有效的方法不在於起止模式或離散循環，而必須考量以下出發點：

• 持續評估我們的安全態勢
• 積極應對可預見的風險
• 迅速回應無法預料和新興的威脅

威脅態勢正以前所未有的速度擴展攻擊面，因此需要一個更靈活的過程來作為意見反應循環。SecDevOps 這項新技術已經提供一些既定的最佳作法。但是資安團隊和營運團隊也必須更進一步地協調及密切合作。

我們不應低估弱點評估對於提供 Cyber Exposure 的情報和情況認知，以及在循環中提供「意見反應」的價值。即使無法一次就修復每一個弱點，但持續評估可以推動臨時的緊急回應補教措施，或是決定是否必須採用存取控制等緩解控制措施來彌補補救措施的延遲和產生的暴露缺口。

加速弱點評估時間

有關如何加速弱點評估時間以及我們分析的詳細見解等建議，請下載量化攻擊者的先發優勢報告。