亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

Kenna Security更新反FUD分析報(bào)告，緩解安全漏洞焦慮情緒。

信息安全行業(yè)盛產(chǎn)關(guān)于軟件漏洞的FUD（懼、惑、疑），也很是適應(yīng)軟件漏洞FUD滿天飛的狀態(tài)，但近期一份調(diào)查研究報(bào)告當(dāng)眾打臉FUD，揭示2019年披露的1.8萬個(gè)CVE中僅不到500個(gè)遭到利用。

美國(guó)信息安全公司Kenna Security日前發(fā)布研究報(bào)告稱，盡管當(dāng)年有成千上萬個(gè)漏洞獲得CVE追蹤編號(hào)，其中卻僅有473個(gè)遭到可能影響公司企業(yè)的惡意利用。

也就是說，2019年報(bào)告的漏洞遭到惡意利用的概率僅2.6%，為業(yè)界評(píng)估聯(lián)網(wǎng)公司面臨的威脅規(guī)模提供了新的視角。

Kenna聯(lián)合創(chuàng)始人兼首席技術(shù)官Ed Bellis向媒體透露，這份分析報(bào)告專注有可能影響其客戶的那些CVE，473這個(gè)數(shù)字甚至能夠進(jìn)一步削減。即使該公司沒有過濾這1.8萬個(gè)CVE，比如說只分析影響企業(yè)軟件的那些漏洞，漏洞披露數(shù)量與實(shí)際遭利用數(shù)量之間的對(duì)比也十分鮮明了。

Kenna Security的報(bào)告斷言：“這473個(gè)漏洞中僅6%曾經(jīng)達(dá)到過被超1/100的組織廣泛利用的程度。漏洞利用程序‘在野’并不意味著就已經(jīng)肆虐全網(wǎng)了。”

“納入CVE列表發(fā)布之時(shí)，>50%（最終遭野生利用）的漏洞都已經(jīng)存在漏洞利用代碼了。但在防御者的不懈努力下，其中80%的CVE在披露之時(shí)就發(fā)布了補(bǔ)丁。”

漏洞就在那里，但一切都極其不安全，有時(shí)只有純靠運(yùn)氣才能避免數(shù)據(jù)盜竊、拒絕服務(wù)攻擊等等危險(xiǎn)的觀念，可能只是假相。真相令人意外！

CVE、CNA、CVSS，還能再C出幾個(gè)縮寫嗎？

盡管并不完美，CVE也是廣為接受的公共領(lǐng)域漏洞數(shù)量與嚴(yán)重性度量。過去幾年，CVE編號(hào)機(jī)構(gòu)（CNA）大量冒出，刺激了報(bào)告CVE數(shù)量的大幅增長(zhǎng)。目前，超過150家組織機(jī)構(gòu)有權(quán)分配CVE編號(hào)，雖然其中大多數(shù)不過是只負(fù)責(zé)自身產(chǎn)品的供應(yīng)商（如英國(guó)當(dāng)下只有三家CNA：Canonical、Snyk和Sophos，而這三家全部都是軟件和信息安全供應(yīng)商）。

學(xué)術(shù)界也質(zhì)疑CVE評(píng)分的重復(fù)性和一致性，德國(guó)一家大學(xué)就正在進(jìn)行關(guān)于通用漏洞評(píng)分系統(tǒng)（CVSS）的研究，主要分析不同人員分配評(píng)分產(chǎn)生迥異結(jié)果的原因和方式。

而且，CVE成因大不同。雖然圍繞一波波漏洞的大多數(shù)FUD總是令人聯(lián)想起惡人小組無情發(fā)現(xiàn)并利用漏洞執(zhí)行進(jìn)一步破壞，連信息安全人員都扛不住，但真相有時(shí)候沒那么戲劇化。

本月早些時(shí)候，谷歌就生動(dòng)演繹了什么叫不過是人為失誤。其Project Zero抱怨垃圾安全補(bǔ)丁未能完全修復(fù)CVE披露的問題。兩天后，谷歌Chromium驗(yàn)證了Project Zero抱怨的問題，是11月時(shí)未能恰當(dāng)修復(fù)的一個(gè)老舊Chromium零日漏洞。

Kenna Security報(bào)告原文：

https://www.kennasecurity.com/resources/prioritization-to-prediction-reports/

來源：數(shù)世咨詢