值得注意的三大弱點情資洞見

Tenable Research 今天發佈的弱點情資報告淺談了當前的弱點揭露趨勢，並深入解析企業環境中的真實弱點統計資料。這份報告中一共提出三大要點。

由於弱點是 Tenable Research 所有業務的重心，因此我們對弱點生態系統的狀態格外感興趣。

為了能夠綜觀弱點生態系統的全貌，首先必須考慮弱點研究與揭露領域的發展與趨勢。這方面的相關研究並不少見，許多廠商和產業機構都在 Common Vulnerabilities and Exposures (CVE) 和 National Vulnerability Database (NVD) 上，定期發表對於趨勢的看法。了解弱點和常見缺陷的歧異度、成長和演化，讓我們能夠感覺到可能面對的狀況，但也僅限於描述性的資訊。CVE 和 NVD 告訴您的是理論上 (而非實務中) 存在哪些弱點，也沒有提供關於現有活躍中弱點群體的深入見解。

了解哪些弱點真正存在，需要掌握終端使用者行為與遙測資料，這正是 Tenable Research 所擅長的部分。我們知道現有弱點群體的樣貌為何。自 1999 年以來公佈的 107,710 個不同的 CVE 之中，有 22,625 個 (23%) 實際存在於企業環境中。這才是真正的弱點生態系統。其他的不是已經絕跡，就是隱藏在數位世界版的地下冰湖中。

我們看到弱點的相對和絕對數量都在持續成長。2017 年共發佈了 15,038 個新的弱點，相較於 2016 年的 9,837 個增加了 53%。比較 2018 年上半年和 2017 年上半年，預計今年的增加率達 27%，也就是將會達到 18,000 至 19,000 個新弱點。其實，我們的預測可能還偏向保守。

有效的威脅和弱點管理現在受到規模和複雜度、數量和速度影響，即分散式、行動性和多樣化網路及使用者的規模和複雜度，隨之產生的弱點數量，以及新弱點在一般環境下受到揭露和利用的速度。這比以往都更加需要可採取行動的情報。我們 Tenable Research 同樣有此需求，而我們也做到了言行一致。結果就是我們的弱點情資報告。為實現我們所相信的完整揭露和情報分享，我們把這些資訊和我們的社群分享。

您可以在此取得報告內容。於此同時，我想要討論我們 Tenable Research 認為值得注意的三種情況：

CVSS 第 3 版加劇了優先排序的問題

CVSS 第 3 版在 2015 年推出，旨在解決第 2 版對於弱點所造成影響的評估方式中的某些侷限，並包含其他一些變更。比較老舊的弱點幾乎都沒有第 3 版的分數，但在 2016 年以後大多數弱點都開始得到 CVSSv3 分數。來自第一線和第三方報告的回饋意見，已顯示出第 3 版自發佈後就存在的缺陷。我們自己的分析結果也支持這些批判，其顯示 CVSSv3 將大多數的弱點都評等為高度或重大風險。

如圖 1 所示，CVSSv2 將 31% 的 CVE 評等為高度嚴重性，而 CVSSv3 中把 60% 評等為高度或重大風險。

如果單獨使用，在優先排序問題方面，CVSSv3 不僅無法解決問題，反而會幫倒忙。我們不是要為 CVSSv2 背書，在此必須說明採用第 3 版的初始原因仍然存在，也就是第 2 版並未能可靠地反映出弱點對其他系統元件造成的風險。

圖 1：CVE 整體情況 – CVSS 嚴重性分佈

舊版弱點仍然潛藏殘餘風險

在本報告的第二部分中，我們分析來自 2018 年 3 月到 8 月之間執行，超過 900,000 次弱點評估掃描的資料，以便查看弱點的普遍性，這裡是指實際存在於企業環境中的弱點。我們也深入探究網頁瀏覽器和應用程式的弱點，因為它們包含在攻擊套件和其他用戶端攻擊之中。我們會立刻注意到什麼呢？企業偵測到的許多弱點存在於過時或舊版的軟體之中。

圖 2 清楚顯示從 2012 到 2017 年的 Firefox 弱點密度，高峰出現在 2015 年。Firefox 在網頁瀏覽器的市場佔有率僅略為高於 10%，但實際上卻在我們的資料集中，佔了所有高度嚴重性弱點的 53%。這些 Firefox 弱點不會被修復。

圖 2：企業環境中不同高度嚴重性網頁瀏覽器 CVE 的普遍性

如您在圖 3 中所見，類似的現象也出現在 Microsoft Office 和 Oracle Java 中。

圖 3：企業環境中不同高度嚴重性應用程式 CVE 的普遍性

保留舊版的系統和軟體，或許有業務上的合理原因。尤其是常因版本依存性而造成困擾的 Java。在這些情況下，易受侵害的系統可以區段分隔，或甚至可以將軟體安裝在虛擬系統中，只有在需要時才啟動。但如果沒有真正的業務原因，這些應用程式代表的就是可以避免的殘餘風險。

決定優先排序條件時，可利用性未得到充分使用

弱點初次被發現時，屬於假定的風險。等到對這些弱點發動利用的情況發佈時，若該弱點出現在您的系統上，才會成為潛在的風險。我們的研究顯示，在 2017 年發現的弱點中，有 7% 會遭到公開利用。雖然這樣仍然使企業必須為高達 751 個弱點進行優先排序，但這個數量還是比單獨使用 CVSSv3 進行優先排序要好得多。如果使用 CVSSv3 評分在 7.0 以上，作為排定優先順序的標準，這種方式會讓企業必須處理的弱點數量多達 8,120 個 (總數的 54%)。即使把範圍縮小到只處理 CVSSv3 評分 9.0 到 10 的弱點，剩下的「重大」風險漏洞仍然有 1,804 個 (12%)。

大多數終端使用者可以在 VA 解決方案中獲得這項資訊，而透過關聯可利用性資料與偵測到的弱點，可自動予以作業化。

在分析資料集內這 609 個不同的高度嚴重性應用程式弱點時，我們發現大多數未安裝的安全性更新，都能修補會受到公開利用的弱點。您可以在圖 4 中看到，在用於處理高度嚴重性 Adobe Flash 弱點且企業在其環境中偵測結果為缺失的安全更新中，有高達 79% 會受到公開利用。而對於 Adobe PDF，這個數字是 96%。考慮到網路上啟用 Flash 的內容已經急速減少，而且會從 2020 年起終止支援，繼續安裝 Flash 並無太大的價值。然而卻依然潛藏著巨大的殘餘風險。資料集內缺少針對可公開利用弱點的安全性更新的任何應用程式群組中，最低比例為 41%。

圖 4：如果未安裝可應對高度嚴重性 Adobe Flash 弱點的安全性更新，有高達 79% 會受到公開利用

考慮到在評估漏洞是否構成緊急風險當中，可利用性是非常有用的依據，而這項資訊也已廣泛提供，此一發現讓我們十分驚訝。這項簡單但有效的優先排序條件，絕對需要社群給予更多關注。

此處所述只是三項我們注意到的重大發現。您可以由此閱讀報告全文。

深入瞭解：

• 下載弱點情資報告。
• 閱讀電子書：如何對網路安全風險進行優先排序：資訊安全長入門指南。
• 詳閱我們的執行部落格： 弱點情資報告：以威脅為中心的優先排序方式。