Tenable 2022 年威脅態勢報告:透過應對已知弱點降低您的曝險
2022 年威脅態勢報告 — Tenable 每年都會檢討資安團隊所面臨的弱點與網路威脅,深入探討在降低風險時所涉及的許多重要挑戰。本報告分析了弱點態勢,深入探討形成威脅態勢的事件並依廠商排序切入弱點的的細部資訊。
有些人可能會覺得長達 65 頁的報告令人望而生畏。 但事實上,任何像這麼完整的報告也只能期望呈現出資安團隊每年所面臨成千上萬的弱點的一部分。Tenable 深信,資安專業人員想要有效降低風險的唯一方法,就是徹底且全面地探討影響當今複雜的數位企業的所有因素。威脅態勢報告是協助進行此項工作的工具。
在 Tenable 安全應變團隊每日的工作中,他們都會檢驗來自數百個來源的資料,以找出與我們客戶及整個網路安全產業相關的事件。從這個有利的位置,我們得以全面檢視弱點和威脅態勢,協助資安專業人員判別最重要的趨勢。這種具有背景資訊的檢視對於希望從被動回應網路安全態勢轉變為採取預防性與主動措施的企業來說非常重要。
可在與外界隔絕的情況下執行弱點管理這種做法對於網路安全部門早就行不通了。現代攻擊破綻包含混合了內部部署和雲端型基礎架構、複雜的身分與存取管理系統、以及數量龐大的 Web 應用程式和微服務。企業現有的網路安全工具和系統許多都互不相通,無助於降低風險。
不過,更令人憂心的是已知缺陷年復一年不斷出現。
從 2018 年到 2022 年這 5 年期間,提報的 CVE 數量年增率高達 26.3%。2022 年提報了 25,112 個弱點 (截至 2023 年 1 月 9 日),相較於 2021 年提報 的 21,957 個弱點,相當於增加 14.4%,而相較於 2016 年所提報的 6,447 個弱點,則增加了 287% 之譜。不過,更令人憂心的是已知缺陷年復一年不斷出現。事實上,在我們的研究發現中,可回溯至 2017 年之久的已知弱點仍舊突出,在 2022 年前 5 大弱點中佔有重要地位。
光是分析弱點態勢,只能讓我們瞭解全貌的一部分。資安專業人員也必須瞭解威脅態勢,也就是:攻擊者如何利用這些弱點、以及如何搭配其他工具與戰術,來鎖定企業、政府和非營利機構。
在打造有效的曝險管理方案時,掌握威脅態勢的全貌是基本要素,因為它結合了人員、流程與技術。曝險管理能讓企業超越各自為政的安全方案所帶來的限制。建立一個曝險管理方案需要匯集來自弱點管理,Web 應用程式安全、雲端安全,身分安全,攻擊路徑分析以及攻擊破綻管理相關工具的資料,並在您包含了使用者和 IT、操作技術 (OT) 和物聯網 (IoT) 資產的獨特混合環境背景下進行分析。目標為何?擁有執行建立在風險型工作流程上持續且預防性安全方案所需的情境式資料。
為協助達到這個任務,2022 年威脅態勢報告檢視了下列重點:
- 整個年度中被揭露和利用的重大弱點,包括常見的雲端錯誤設定如何影響技術巨擘。
- 勒索軟體生態系統的不斷轉型和純敲詐的威脅集團的興起。
- 軟體供應鏈中持續存在的風險、弱點和攻擊。
- 進階持續性威脅集團針對企業所使用的手法與網路間諜活動以及破壞性和財務動機型攻擊。
- 在可用資訊有限及缺乏詳細通報要求下,分析外洩資料的因素和困難點。
- 影響大型企業軟體的主要弱點相關詳情。
使用此報告的 5 種方法
資安專業人員有 5 種方式可利用本報告中所包含的研究發現:
- 透過判別與修復參照的弱點和錯誤設定,降低貴公司的曝險。
- 瞭解威脅行動者如何入侵企業以及他們用來把持企業及其敏感資料以進行勒索的戰術,進而遏制攻擊者。
- 透過檢查資料洩漏發生的某些常見方式以及貴公司可以採取哪些措施來避免,以保護資料。
- 優先處理最常被刺探利用的弱點,將您修補與緩和風險策略的效果發揮到極致。
- 將您的安全控管措施拓展至解決攻擊者持續鎖定的雲端與身分錯誤設定上。
本報告也提供 4 個資安專業人員現在就可採取的 4 個建議行動,以改善他們的預防性網路安全工作及強化曝險管理做法。
一探 2022 年威脅態勢報告
這份報告分成三個章節,整體的設計可提供當年網路安全的審慎觀點,讓資安專業人員得以深入瞭解對他們的企業最重要的領域。
第一個章節是探索弱點態勢中值得注意的事件,包括:
- 遭受攻擊的 Microsoft Exchange Server 弱點依然令人矚目
- 值得注意的弱點以及使供應鏈憂心的 Log4Shell
- 雲端安全問題與錯誤設定
第二個章節則探討形成威脅態勢的事件,包括:
- 民族國家贊助的活動
- 勒索軟體與該生態系統和戰術的進化持續帶來的影響
- 資料外洩事件以及從彙集可公開取得的資料中汲取到的重要觀察
第三個章節提供本報告中所有弱點的清單,依廠商排序,因此您就能快速地深入瞭解對貴公司而言最重要的弱點。我們深入探索了超過 170 個影響 30 家以上廠商和開放原始碼工具的弱點,包括:Apache、Apple、Atlassian 、F5 Networks 和 Microsoft。
深入瞭解
- 下載 2022 年威脅態勢報告
- 參加「Tenable Research 分享 2022 年回顧以及針對 2023 年給防禦者的建議 - 為強化您未來一年的網路防禦工事做好準備」網路研討會
- 閱讀部落格貼文:「曝險管理: 曝險管理是我們對防護現代攻擊破綻的願景」
- 利用 Tenable.io 和 Security Center 儀表板瞭解如何降低您的曝險
相關文章
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security
April 19, 2024Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!
Cybersecurity Snapshot: CISA Says Midnight Blizzard Swiped U.S. Gov’t Emails During Microsoft Hack, Tells Fed Agencies To Take Immediate Action
April 12, 2024Check out CISA’s urgent call for federal agencies to protect themselves from Midnight Blizzard’s breach of Microsoft corporate emails. Plus, a new survey shows cybersecurity pros are guardedly optimistic about AI. Meanwhile, SANS pinpoints the four trends CISOs absolutely must focus on this year. And the NSA is sharing best practices for data security. And much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Cloud
- Exposure Management
- Research Reports
- Threat Management
- Vulnerability Management