来自 应用 2021-10-12 14:17 的文章

cdn防护_防御服务器主机_怎么办

cdn防护_防御服务器主机_怎么办

本系列博客将从多个不同角度深入讨论漏洞优先级评级(VPR)。第一部分将重点介绍VPR的区别特征,这些特征使得VPR比通用漏洞评分系统(CVSS)更适合于确定修复工作的优先级。什么是VPR?脆弱性优先级评级(VPR)是可靠的预测性优先级排序的结果,通过根据严重性级别(严重、高、中、低)对漏洞进行评级,帮助组织提高其修复效率和有效性,这些级别由两个部分决定:技术影响和威胁技术影响衡量利用漏洞后对机密性、完整性和可用性的影响。它相当于CVSSv3冲击子核心。威胁部分反映了针对脆弱性的近期和潜在的威胁活动。影响VPR的威胁源的一些例子包括公共概念验证(PoC)研究、社交媒体上的攻击报告、漏洞工具包和框架中出现的漏洞代码、在黑暗网络和黑客论坛上的攻击参考以及在野外检测恶意软件哈希。这种威胁情报在优先考虑那些对组织构成最大风险的脆弱性方面至关重要。VPR是为漏洞优先级而设计的CVSS框架长期以来一直受到批评,因为它无法有效和高效地优先考虑漏洞修复。这主要是因为它旨在衡量漏洞的技术严重性,而不是它们所带来的风险。卡内基大学发表的[CMU2019]报告:通用漏洞评分系统(CVSS)被广泛地误用在漏洞优先排序和风险评估中,尽管其设计用于衡量技术严重性。当它用于漏洞修复时,一个经常受到批评的问题是CVSS评级中高和关键漏洞占很大比例。在写这篇博文时,维盟路由ddos防御,有超过16000个漏洞被评为9.0或更高(每CVSSv2)–占所有漏洞的13%。CVSSv3是CVSS的最新主要版本,cc攻击的原理与防御,在这个问题上没有改进。自2015年6月发布以来,CVSSv3已经对超过60000个漏洞进行了评级。大约9400个CVSSv3漏洞被评为9.0或更高级别,维盟路由ddos防御,占所有CVSSv3漏洞的16%。当很大比例的漏洞被认为是关键性的时,优先级划分就很麻烦了图1。通过严重性评级比较CVSSv3和VPR漏洞分布VPR旨在通过将威胁信息纳入公式来避免此类问题。上图比较了VPR和CVSSv3的漏洞分布。由于威胁的动态性质,VPR临界值的数量每天都略有变化。平均每天,虚拟主机免费ddos防御,VPR将大约700个漏洞评为严重漏洞,低于5000个漏洞的严重级别。这些数字分别占所有漏洞的1%和4%。由于需要关注的关键漏洞较少,安全团队可以更有效地设计漏洞修复计划在这个阶段,一个自然要问的问题是效率:VPR可以捕获多少风险漏洞?本文的其余部分将比较VPR和CVSSv3在识别风险漏洞方面的效率。但首先,ddos云防御便宜,我们将研究VPR是如何生成的。VPR:引擎盖下VPR的核心是机器学习模型,它们一起工作来预测威胁。具体地说,威胁预测试图回答这样一个问题:根据最新的可用数据,一个脆弱性的近期威胁的适当程度是多少?为了训练VPR模型来回答这个问题,它将使用来自不同来源的历史数据:威胁情报源提供有关漏洞利用和攻击的信息,如对妥协指标(IoC)的观察、对暗黑网络上的攻击的引用、社交媒体或代码存储库的攻击报告等。它们向VPR提供有关哪些漏洞可能与攻击有关以及哪些漏洞受到主动攻击的信息。利用存储库/工具包提供有关利用代码成熟度的信息。不同的成熟度(从PoC到武器化)对威胁的贡献不同。漏洞存储库和安全警告提供了可能与威胁相关的内在脆弱性特征总的来说,这些原始数据每天都被输入到VPR管道中。VPR分数(在下面的示例中为9.6)是通过组合每个漏洞的预测威胁和影响(取自CVSSv3影响分数)生成的。图2说明了这个过程。图2。VPR管道VPR与CVSS在漏洞修复中的比较对比分析表明,基于VPR的修复策略比基于CVSS的方法具有更高的效率VPR优先考虑新出现的攻击漏洞对新出现的威胁采取积极的姿态可以帮助安全团队获得一个时间缓冲来强化他们的攻击面。主动防御的一个例子是频繁扫描网络并修补修补修补窗口中划分为CVS关键的每个漏洞。这种方法可以提高网络加固的效率,但通常很难执行,因为属于这一类的漏洞太多VPR的设计目的是优先考虑那些在短期内成为威胁参与者攻击目标的可能性更大的漏洞,同时过滤掉那些被认为风险较小的漏洞。这就是VPR的预测性质。在这一点上,人们可能会对如何做出预测感到好奇。这里没有魔法!VPR的预测基于一个简单的规则:在野外,一个漏洞的威胁演变通常会遵循与过去类似漏洞相同的模式在下表中,我们表明,按照VPR设计的修复策略可以达到与修复所有CVSS临界点相同的效率水平,其效率要高得多。在这里,我们利用IoC在未来28天内识别漏洞的能力,根据CVSSv3对VPR进行基准测试。IOC通常被认为是剥削的有力证据。它们包括恶意软件哈希、IP地址、URL等等。我们从商业数据提供商(如ReversingLabs和VirusTotal)获得IOC。表1。VPR(左)和CVSSv3(右)未来28天内在野外发现的IoC漏洞数错误-在计算VPR后的28天内没有发现IoC错误-在计算VPR后的28天内发现IoC上表比较了VPR(左)和CVSSv3(右)在预测未来28天内存在威胁的漏洞方面的性能。本例中使用的VPR分数取自2020年1月,漏洞的IOC从VPR生成后的28天内收集。VPR High和Critical的覆盖范围与CVSSv3相似,用于识别IoC的漏洞。换言之,这两种策略在未来四周内捕获的实际IOC漏洞数量相似:428个漏洞中有365个是VPR高和严重,376个是CVS高和严重。然而,VPR比CVSSv3更有效地预测未来28天IOC的漏洞。比较两者,有26%的VPR临界值和17%的VPR高值,而CVSSv3临界值和高值都只有1%。修正前1500个VPR分数与修正前33000个CVSSv3分数一样有效-大约是效率的22倍。VPR使用已知的攻击代码对漏洞进行优先级排序拥有高度成熟的攻击代码会增加网络犯罪分子在网络攻击中使用该漏洞的可能性。因此,对于VPR来说,使用公开可用的攻击代码来划分漏洞的优先级是很重要的。请注意,我们在本分析中使用的攻击代码成熟度分类遵循CVSS的约定。总之,高成熟度意味着存在功能性的、自主的攻击代码。从理论上讲,功能性意味着攻击代码被武器化,而PoC意味着攻击代码有效。更多详细信息请参阅CVSSv3规范[CVSSv3]。我们从多个存储库和漏洞工具包中获取漏洞代码,例如Metasploit、Core Impact、exploit DB、D2 Elliot、Packet Storm等等图3比较了VPR和CVSSv3可用的已知攻击代码的漏洞比例。超过一半的VPR关键漏洞(54%)具有公共攻击代码(即高、功能和PoC),而CVSS关键漏洞则为15%。这表明,使用VPR对漏洞进行优先级排序将降低web上使用漏洞代码的漏洞所带来的风险。图3。根据VPR(顶部)和CVSSv3(底部)的攻击代码成熟度划分的每个关键级别中的漏洞比例下一个要问的问题是:VPR捕获的漏洞中有多大比例的漏洞和功能性漏洞代码?换句话说,对于具有高度成熟的攻击代码的漏洞,VPR的覆盖范围是多少?图4比较了所有攻击代码成熟度级别的VPR和CVSS关键性比例:具有较高攻击代码成熟度(高和功能性)的漏洞主要由VPR中的关键和高漏洞捕获。这与CVSS类似。但是,考虑到CVSSv3中大量CVE被评为关键和高级别,VPR更有效地利用已知的漏洞代码对漏洞进行优先级排序对于成熟度较高的漏洞利用代码(即高成熟度和功能性代码)的漏洞,VPR关键度的分布与低成熟度(即PoC和unprovent)有很大不同。大多数带有PoC攻击代码的漏洞被评为中等VPR。而且,VPR将未经验证的攻击代码的漏洞评分为低。另一方面,CVSSv3在所有攻击代码成熟度级别上分布更加均匀。这从另一个角度表明V