弱點情資報告：以威脅為中心的優先排序方式

Tenable Research 旨在為組織提供所需的真實資料，供其採用以威脅為主的弱點管理方法。

迄今為止，仍然很難真正洞悉 Cyber Exposure 的真實狀態，即網路防禦者的實際作為，而非他們的所思所云。

全新推出的弱點情資報告提供了弱點揭露趨勢的概述，並深入解析弱點在企業環境中的真實統計資料。該報告會根據受影響企業的數量來分析弱點普遍性，著重強調安全性從業人員在實務中正在應付的弱點，而非空談理論。

由於在企業環境中偵測到的所有漏洞中有 61% 被評為「高度」嚴重性，因此網路安全團隊面臨的挑戰是必須確定哪些漏洞會構成真正的風險。他們需要優先處理最重大的漏洞，讓有限的修復資源發揮最大效益。如果事事緊急，分級談何用武之地？

更好的優先排序至關重要

若要排定優先順序，組織首先需要更深入了解弱點實際帶來的影響，而不是理論上的影響。作為優先排序指標，CVSS 有其缺點。它在規模和數量上欠缺精細程度，因為大多數弱點都被分類為「高度」或「重大」等級。從 CVSSv2 轉換到 CVSSv3 只會加重問題，因為大多數弱點的嚴重性現在都被註冊為「高度」或「重大」。

常識告訴我們，如果每件事看起來都很重要，那就一點都不重要 - 因此需要更好的優先排序方式。這類深入見解需要將內容納入考量，例如威脅情報，因此組織可以根據一般環境中的真實威脅來排定弱點的優先順序。

Tenable Research 希望能在弱點情資報告中提供這類深入見解。

該報告會根據一天內受影響企業的最大數量來分析弱點的普遍性，以著重強調安全性從業人員每天處理的弱點數量。

平均而言，企業每天都會在 960 個資產中發現 870 個 CVE。這表示以只修復高度嚴重性 CVE 為基礎的優先排序方法，一般企業每天仍有超過 548 個弱點必須評估和優先處理，而且通常是遍佈在數個系統中。

這表示以只修復重大 CVE 為基礎的優先排序方法，造成一般企業每天仍有上百個弱點必須依照修補程式排序，而且通常是遍佈在數個系統中。問題增加的另一個原因是弱點如果未被定義為「重大」(即 CVSS 評分低於 9)，可能會產生災難性的後果 - 例如，WannaCry 利用的就是評分低於 9.0 的弱點 (該弱點評分為 8.5)。

此研究證實，弱點管理是集規模、速度和數量於一身的艱鉅挑戰。它不單只有工程技術面的困難，還需透過以威脅為中心的視野，才能對數以千計表面上貌似相同的弱點，排定其處理的優先順序。

該報告介紹了前 20 大弱點圖表 - 深入解析企業不同技術中所存在最普遍的弱點。圖表利用實際的遙測資料來揭露企業環境中確實存在哪些弱點，以及後續會構成最大的真實風險。組織可以利用此資訊，來清晰檢視，在所有弱點中自己需要面對哪些弱點。

主要研究結果

• 弱點越來越多 – 2017 年所揭露的新弱點總數為 15,038 個，與 2016 年揭露的 9,837 個弱點相比增加 53%。2018 年追蹤到的新弱點約在 18,000 至 19,000 個之間。企業在其環境中發現有將近三分之二 (61%) 的弱點 CVSSv2 嚴重性為高 (7.0-10.0)。
• 越來越難發現弱點 - 在所有弱點中只有 7% 是利用公開的漏洞。事實上多數弱點從未發展成有用的漏洞，其中會被威脅發動者利用作為武器並部署使用的更是少之又少。找到並修復這 7% 的弱點對於改善組織的 Cyber Exposure 來說至關重要。

依照目前的預測，2018 年將發佈超過 1,500 個可利用弱點，相當於每個星期略多於 28 個可利用弱點。深入見解必不可少，絕非「可有可無」。請在這裡下載弱點情資報告，取得您需要的深入見解，開始建立一個以風險為基礎的優先排序方式。

深入瞭解：

• 下載弱點情資報告。
• 閱讀電子書：如何對網路安全風險進行優先排序：資訊安全長入門指南。
• 閱讀我們的技術部落格：值得注意的三大弱點情報洞見