为什么CVE管理作为主要策略却不起作用?

对于安全研究人员来说,通用漏洞披露(CVE)总是令人困扰——但原因可能与想象不同。
事实证明只有大约15%的漏洞可被利用,因此修补每个漏洞并不能有效利用时间。

对于安全研究人员来说,通用漏洞披露(CVE)总是令人困扰——但原因可能与想象不同。

虽然CVE所构成的威胁及其导致的大量补救工作让IT和安全团队很头疼,但真正令研究人员困扰的是现代安全流程与CVE的关系。缓解策略过于关注“漏洞管理”,过于以CVE为中心,而我们真正需要的是一种以攻击者为中心的方法,以有效减少自身的风险。

将漏洞管理作为主要策略并不起到真正的作用。根据美国国家标准与技术研究所(NIST)的数据,仅在2021年就发现了20158个新漏洞。这是漏洞发现数量连续第五年创纪录,2022年更是延续了这一趋势。安全团队不可能每年修补20000个新漏洞,即使他们可以做到,这也不是他们应该做的工作。

这看似违反常识,但实际上多种原因都证明其正确性。首先,最近的研究表明,只有大约 15% 的漏洞实际上是可利用的,因此对于不缺任务的安全团队来说,修补每个漏洞并不是有效利用时间的方法。第二个同样重要的原因是,即使你不断地修补网络中100%的CVE,这可能仍然无法有效地阻止攻击者。

攻击者的策略多种多样

网络钓鱼、鱼叉式网络钓鱼、不同级别的社会工程、泄露的凭证、默认凭证、使用标准接口(FTP、SMB、HTTP等)的未经身份验证的访问、无需密码即可访问的热点、网络中毒、密码破解——攻击者采用的策略列表是巨大而多样的,许多甚至不需要高级CVE,或者根本不需要任何CVE,就可以对组织构成危险。此前的Uber漏洞就是一个很好的例子,说明攻击者如何在不使用最新的CVE或过于复杂的攻击方法来攻击组织。

据说,攻击者要么是一名18岁的年轻人,通过巧妙的社会工程/鱼叉式网络钓鱼攻击窃取了Uber员工的数据,要么是南美攻击者组织Lapsus$的杰作,该组织利用从暗网获得的第三方承包商泄露的凭证,实施了鱼叉式网络钓鱼攻击。在这两种情况下,都没有复杂的编码或漏洞利用。相反,这是一种经过考验且实用的已有战术的变种。

重要的不是漏洞而是向量

首先我们仍然需要强调,打补丁非常重要,它是强大安全态势的关键组成部分,也是每个安全策略的关键组成部分。问题是,今天的许多工具仅基于通用漏洞评分系统(Common Vulnerability Scoring System, CVSS)分数来确定修复建议的优先级,却忽略了组织环境以及如何将有意义的15%的漏洞与其他85%的漏洞区分开来这一认知。

因此我们认为,重要的不是漏洞,而是向量。仅仅因为攻击并非以重大漏洞开始,并不意味着它不会以重大漏洞结束。对组织来说最危险的漏洞可能是隐藏在高分误报列表底部的 5.7/10 CVSS 分数。

 

凭证泄露是更大的威胁

凭证泄露对一般组织构成的威胁可能比接下来宣布的十几个CVE的总和要大得多,然而许多组织没有适当的方法来发现他们的任何凭证是否在暗网散布。我们表现得好像攻击者会花费无数时间开发CVE漏洞,而他们实际上只是在寻找访问我们网络的最有效方式。今天的许多攻击者和攻击组织都是出于经济动机,就像正常的企业一样,他们希望获得最好的投资回报率。既然可以购买或抓取凭证,为什么还要花时间执行复杂的攻击呢?

现在,我们的防御系统不起作用,作为安全专业人员,我们需要重新审视薄弱点在哪里。虽然漏洞管理对于任何有意义的安全策略来说仍然是核心部分,但我们需要放弃将其作为主要方法。相反,我们需要仔细研究攻击者正在使用的策略(战术与技术),并将我们的安全策略建立在如何阻止它们的基础上。如果我们希望自己的安全措施能够真正有效地减少自身暴露,我们的策略必须侧重于了解攻击者用来利用我们的弱点的实现技术和方法。

塞讯安全实验室聚集了业内顶尖的安全分析团队,拥有一流的安全研究与APT组织追踪能力,为客户提供互联网中收集到的最新、最经典的APT攻击手法。全天候追踪互联网黑客组织和漏洞,利用得到的一手威胁情报,第一时间还原攻击手法,为未受害企业提供验证手段。

目前,塞讯安全实验室已累积攻击手法逾9000种,各类攻击场景超过1000个,追踪200多个APT组织以及70多个勒索软件组织,从而帮助企业通过攻击者视角验证自身防御体系的有效性,并提供有效的缓解策略建议,有针对性地加固安全防御薄弱点。