来自 防护 2021-10-12 13:07 的文章

国内高防cdn_ddos清洗原理_解决方案

国内高防cdn_ddos清洗原理_解决方案

在我们的三部分系列文章的最后一部分,Tenable Research评估了全球人口中脆弱性的普遍性,以及这些发现对攻击者经济动机的影响。这是我们关于持久性漏洞及其原因的系列博客的第三部分,也是最后一部分。Tenable Research的新报告寻求以下研究问题的答案:漏洞的特性是否影响其持久性?或者,持久性仅仅与补救过程及其速度有关吗? 组织之间是否存在漏洞修复差异?而且,每个组织内部是否存在差异?我们之前的文章详细介绍了这项研究背后的方法和关键发现,以及给定组织中漏洞的生命周期。在这篇文章中,我们研究了跨组织的补救趋势,nginx防御ddos模块,以了解漏洞在全球资产群体中是如何持续存在的。最后,我们反思安全社区如何通过根除普遍存在的漏洞来减少攻击者的经济动机。持久性101:如何识别持久的漏洞补救的主要目标是尽量减少对脆弱性的暴露,防御ddos的手段有哪些,特别是那些风险最高的脆弱性。当漏洞要么在修复方面落后,要么整体修复率较低(见图1),我们讨论持久性。这里,我们关注可利用的漏洞,并包括一个普遍性度量(即,漏洞必须在多大程度上存在于全球用户和资产群体中,以使其成为攻击者可行和有吸引力的目标?)。脆弱性给组织带来的风险水平是波动的。一个组织内部的评估和补救周期越快,它就越能正确地管理风险。图1显示了与七个可利用漏洞相关的时间线图1。单个漏洞修复时间表示例我们发现Adobe CVE-2018-4988的修复速度最快,整体修复率达到81%。我们还可以清楚地看到Oracle WebLogic服务器CVE-2018-2628中存在异常值,随着时间的推移,该服务器始终会延迟修复。另一个异常值是dnsmasq堆缓冲区溢出CVE-2017-14491,它最初没有很大的延迟,但在一年多之后只有53%的修复。这两个漏洞被认为是持久性的。高离群值表示组织之间存在很大差异图2显示了修复数据的分布。随着时间的推移,可变性的大幅增加表明了各组织之间在补救速度上的巨大差异以及补救的长期困难。随着时间的推移,这种分散性以惊人的速度增长,因为全球75%的脆弱性实例的补救时间中位数高于达到25%的中值的10倍。它也表现在连续的层次上的重叠。在其他漏洞达到25%之前,许多漏洞的总体修复率达到50%甚至75%。让我们看看离群值集及其特征图2。修复数据的分布客户端漏洞是最持久的威胁之一异常值集中的漏洞主要是客户端漏洞,如表1所示表1。离群值集中受影响最大的产品列表这表明要么偏向于服务器端漏洞,要么是用户参与困难。鉴于企业网络上的大多数攻击都是成功的鱼叉式网络钓鱼或web攻击的结果,1必须弥合管理客户端漏洞方面的这一差距图3显示了持久分布集的可利用性。超过60%的客户端持久性漏洞是在野外被利用的图3。可开发性分布oracleweblogic是另一个异常值的来源。在这种情况下,原因可能仅仅是修补和升级WebLogic所涉及的复杂性,这可能是一个漫长的过程,有着不同的需求。但是,这也可能与网络设置、其他对策或资产类型有关,例如,生产资产可能会经历系统性修复,而开发资产在下一次重大升级之前仍无法解决可利用持久性漏洞的特征表2显示了可利用持久集的主要特征表2。可利用持久集的高级特征高严重性、低攻击复杂度和易受攻击的漏洞普遍存在,这证实了本系列第二部分中指出的优先级问题。也就是说,防御者并没有比其他漏洞更快地处理更高风险的漏洞实际上,防御者还没有合适的工具来区分和监控攻击者的行为和威胁情况。另一方面,优先次序方面的问题也可能是妨碍补救工作的其他环境和人为因素造成的。在下一节中,防御ddos攻击路由器,我们将研究这些附加的方面,包括快速修复组织在高度流行的持久性漏洞方面是否表现得更好。图4显示了数据集中持久性漏洞的总体流行率。图4。持续脆弱性的总体流行率普遍存在的漏洞甚至会影响高绩效组织大多数组织在修复竞赛中落后了(即,cc攻击可以防御的吗,防御ddos收费,没有在给定的时间范围内关闭那么多的漏洞)。我们通过计算所有漏洞的评估和修复窗口中打开和关闭的漏洞的平均数量来衡量样本的速度结果表明,只有5.5%(图5)的组织实现了高于其评估率的补救率图5。跨组织的修复速度分布我们在这里要问的问题是:在不同的速度配置文件中,持久性漏洞的流行情况是什么?图6显示,与图4中的总体数据相比,大多数持久性漏洞仍然普遍存在于表现最好的成员中,这表明更高的修复能力和速度对这些漏洞的持久性影响不大图6。高绩效员工中持续脆弱性的普遍性这对我们的第一个研究问题提出了不同的答案:虽然脆弱性特征与局部持久性无关,但它们确实在全局持久性的情况下发挥了作用。更大的软件足迹可能意味着更大的持久性和流行性最常见的持久性漏洞(CVE-2018-8353、CVE-2018-8355和CVE-2018-8373)是一组远程内存损坏漏洞,影响Internet Explorer的多个版本,远程攻击者可以执行任意代码。例如,在微软于2018年7月发布补丁的第二天,即NVD发布日期之前的一天,人们发现了CVE-2018-8373的野生病毒那么,为什么这种脆弱性会持续存在并普遍存在?它很可能与CPE列表或受影响的软件配置有关。漏洞影响的操作系统和产品版本越多,修复就越困难,导致持久性。事实上,异常值集的平均值为14.8 cpe,而在前100个最快速修复的漏洞中(即20天内),平均值为8个cpe。如图4和图6所示,在许多情况下,较长的CPE清单也会反映出更大的资产量,因此,全面补救的难度更大。经济激励是有效防御的关键评估补救行为和优先事项时需要考虑的另一个关键因素是,现有的策略是否减少了攻击者的经济动机。攻击者受到经济驱动;他们试图通过利用普遍存在的漏洞来降低成本和增加收入。已有研究表明,在防御策略中应考虑攻击者的经济动机我们可以说,与系统中存在的漏洞数量相比,漏洞的普遍性是一个更有趣的风险指标。攻击者在他们的工具箱中引入新的漏洞的速度很慢,如果有足够多的易受攻击的系统,他们往往会使用现有的漏洞。组织可能会发现,考虑到整个社区的安全性,甚至重新考虑自己的补救行为和优先事项,通过降低脆弱性的普遍性来降低其经济吸引力。增加成本和减少收入可以有效地阻止攻击的发展和部署。结论:将优先次序纳入你的补救策略中正如我们所讨论的,我们的分析表明,可利用和高风险漏洞的修复速度不会比任何其他漏洞快。为了改善这一点,组织需要更好的优先级划分方法,包括威胁情报和资产关键性等组件。行业需要加快步伐,为组织提供有效降低风险的工具和资源数据驱动的洞察力对于确定漏洞对组织的实际风险至关重要。Tenable拥有一个4.5 PB的威胁、漏洞和资产信息数据池,用于预测漏洞优先级、资产关键性并确定关键成熟度指标,以推动流程改进。结合第三方对漏洞的预测性数据和第三方的最有可能的漏洞进行分析。通过利用这些工具,组织可以选择退出补救竞赛,最终通过关注最重要的风险来应对网络威胁。1.赛门铁克,"互联网安全