Kết quả phân tích lỗ hổng bảo mật trong Bộ điều hướng bảo mật của Orange Cyberdefences cho thấy một số lỗ hổng được phát hiện lần đầu tiên vào năm 1999 vẫn được tìm thấy trong các mạng ngày nay. Điều này có liên quan.
Tuổi phát hiện VOC
Quá trình Quét lỗ hổng bảo mật của chúng tôi được thực hiện định kỳ, điều này mang lại cho chúng tôi cơ hội kiểm tra sự khác biệt giữa thời điểm quá trình quét được thực hiện trên Nội dung và khi một phát hiện cụ thể về Nội dung đó được báo cáo. Chúng ta có thể gọi đó là phát hiện ‘Tuổi'. Nếu các phát hiện được báo cáo lần đầu không được giải quyết, chúng sẽ xảy ra trong nhiều lần quét hơn theo thời gian với Độ tuổi tăng dần và vì vậy chúng tôi có thể theo dõi Độ tuổi của các phát hiện được báo cáo thay đổi như thế nào theo thời gian.
Như biểu đồ bên dưới minh họa rõ ràng, phần lớn các phát hiện thực tế trong bộ dữ liệu của chúng tôi, ở tất cả các mức độ nghiêm trọng, đều có tuổi từ 75 đến 225 ngày. Có một ‘đỉnh' thứ hai vào khoảng 300 ngày, mà chúng tôi nghi ngờ có liên quan nhiều hơn đến tuổi của dữ liệu trong bộ dữ liệu và do đó có thể bị bỏ qua. Cuối cùng, có một ‘cú hích' hấp dẫn vào khoảng 1.000 ngày, mà chúng tôi tin rằng đại diện cho ‘đuôi dài' của các phát hiện trong bộ dữ liệu đơn giản là sẽ không bao giờ được giải quyết.
75% các phát hiện trong 1000 ngày ‘gập ghềnh' là Mức độ nghiêm trọng Trung bình, nhưng 16% được phân loại là Mức độ nghiêm trọng Cao hoặc Nguy hiểm.
Độ tuổi trung bình của các phát hiện trong tập dữ liệu của chúng tôi bị ảnh hưởng nhiều bởi những thay đổi trong bộ Khách hàng và Tài sản của chúng tôi dưới dạng bất kỳ yếu tố bên ngoài nào, như có thể thấy ở mức độ biến động cao. Tuy nhiên, có sự gia tăng rõ ràng về Tuổi trung bình của các phát hiện là 241% từ 63 lên 215 ngày trong 24 tháng kể từ khi chúng tôi giới thiệu khách hàng trên nền tảng này.
Nhóm đại khái các phát hiện đã được xác nhận từ dữ liệu Quét lỗ hổng của chúng tôi theo ‘Nhóm tuổi' cho thấy những điều sau:
Chỉ 20% tất cả các phát hiện được giải quyết trong vòng chưa đầy 30 ngày. 80% tất cả các phát hiện mất 30 ngày trở lên để vá 57% tất cả các phát hiện mất 90 ngày trở lên để vá. 215 ngày Trung bình
Tuổi trung bình/tối đa của các phát hiện theo mức độ nghiêm trọng
Biểu đồ bên dưới cho thấy rằng ngay cả các Lỗ hổng nghiêm trọng cũng mất trung bình khoảng 6 tháng để giải quyết, nhưng điều đó đáng khích lệ là nhanh hơn ít nhất 36% so với thời gian dành cho các vấn đề có mức độ nghiêm trọng thấp.
Xem xét kỹ hơn các chỉ số về thời gian trung bình so với thời gian tối đa đối với các xếp hạng mức độ quan trọng khác nhau, chúng tôi kết thúc bằng biểu đồ bên dưới.
Mặc dù kết luận của chúng tôi về các vấn đề quan trọng được giải quyết nhanh hơn đại diện cho thời gian giảm thiểu trung bình, nhưng thời gian tối đa luôn ở mức cao bất kể mức độ quan trọng.
Chúng tôi sẽ phải xem số liệu này nhiều hơn khi tập dữ liệu phát triển trong tương lai.
So sánh ngành
Độ tuổi tối đa của các phát hiện trong chế độ xem bên dưới đóng vai trò như một dấu hiệu cho biết khách hàng từ Ngành đó đã có mặt trong tập dữ liệu của chúng tôi trong bao lâu so với bất kỳ ngành nào khác, trong khi độ tuổi trung bình là đại diện tốt hơn cho mức độ hiệu quả của khách hàng trong việc giải quyết các vấn đề chúng tôi báo cáo. Do đó, các ngành có mức tối đa cao và mức trung bình thấp sẽ hoạt động tốt nhất, mức tối đa cao và mức trung bình cao… là ‘tệ nhất'. Các ngành có độ tuổi tối đa rất thấp có lẽ đã không có trong tập dữ liệu quá lâu và do đó, có lẽ không được đưa vào so sánh trên số liệu này.
Tuy nhiên, các Ngành này được so sánh, Tuổi tìm kiếm là một số liệu liên quan.
Những lỗ hổng đó thực sự bao nhiêu tuổi?
Cho đến nay, chúng tôi chỉ xem xét thời gian tương đối, từ khi lần đầu tiên chúng tôi tìm thấy lỗ hổng trong một tài sản cho đến bây giờ (nếu vẫn còn). Tuy nhiên, điều đó không cung cấp cho chúng tôi bất kỳ thông tin nào về độ tuổi thực sự của những lỗ hổng đó. Xem xét kỹ hơn các CVE được tìm thấy, chúng ta có thể phân tích ngày xuất bản của chúng. Kết quả hơi khó hiểu, nhưng dường như phù hợp với bức tranh hiện ra: vì lý do này hay lý do khác, một số lỗ hổng chưa bao giờ được khắc phục. Chúng trở thành một phần của khoản nợ bảo đảm mà doanh nghiệp tích lũy.
0,5% CVE được báo cáo từ 20 tuổi trở lên 13% báo cáo CVE từ 10 tuổi trở lên 47% CVE từ 5 tuổi trở lên
Phần kết luận
Hơn 22 lỗ hổng với CVE được chỉ định được xuất bản mỗi ngày. Với điểm CVSS trung bình trên 7 (Mức độ nghiêm trọng cao), mỗi lỗ hổng được tiết lộ này là một điểm dữ liệu quan trọng ảnh hưởng đến phương trình rủi ro và khả năng tiếp xúc thực sự của chúng ta với các mối đe dọa.
Quét lỗ hổng bảo mật và Kiểm tra thâm nhập là các cơ chế chúng tôi sử dụng để hiểu các lỗ hổng bảo mật có thể ảnh hưởng đến tình hình bảo mật của chúng tôi, hiểu tác động tiềm ẩn của chúng, ưu tiên và thực hiện hành động thích hợp. Hai bài tập đánh giá này khác nhau về cách tiếp cận, nhưng sử dụng ngôn ngữ tương tự và phục vụ mục đích tương tự.
Năm nay, chúng tôi sẽ đưa vào phần phân tích các bộ dữ liệu từ cả hai dịch vụ trong Bộ điều hướng. Đây là lần đầu tiên chúng tôi thử điều này và dữ liệu của chúng tôi vẫn chưa hoàn hảo.
Những gì chúng ta có thể thấy rõ ràng là chúng ta đang gặp khó khăn trong việc quản lý các lỗ hổng mà chúng ta biết. Trung bình, khách hàng của chúng tôi mất 215 ngày để vá một lỗ hổng mà chúng tôi báo cáo cho họ. Tốc độ này thấp hơn một chút đối với các Lỗ hổng nghiêm trọng – có vẻ như các lỗ hổng này được vá nhanh hơn 36% so với các vấn đề nghiêm trọng ‘Thấp'. Nhưng bức tranh vẫn còn ảm đạm: 80% tất cả các Phát hiện mất 30 ngày trở lên để vá lỗi, 57% mất 90 ngày trở lên.
Các nhóm kiểm tra dồn nén của chúng tôi vẫn đang khám phá các lỗ hổng được xác định lần đầu tiên vào năm 2010 và các nhóm quét của chúng tôi gặp phải các sự cố có từ năm 1999! Thật vậy, 47% CVE từ 5 tuổi trở lên. 13% từ 10 tuổi trở lên. Đây là một kết quả đáng lo ngại.
Đây chỉ là một đoạn trích của bài phân tích. Thông tin chi tiết khác, chẳng hạn như mức độ nghiêm trọng của các lỗ hổng và những thay đổi trong kết quả quét Pentesting và VOC theo thời gian (cũng như rất nhiều chủ đề nghiên cứu thú vị khác), có thể được tìm thấy trong Security Navigator. Nó miễn phí, vì vậy có một cái nhìn. Thật đáng giá!
Lưu ý: Phần thông tin này đã được Charl van der Walt, Trưởng phòng Nghiên cứu Bảo mật tại orange cyberdefense, soạn thảo một cách chuyên nghiệp và hào phóng chia sẻ.
