|
|
黑客:黑客竊聽(tīng)英特爾在新興威脅,灰鴿子下載��,遠(yuǎn)程控制軟件
![]()
在黑客論壇的在線聊天��,可以給你一個(gè)跳躍的漏洞你的供應(yīng)商沒(méi)有固定
海洋中的一個(gè)漏洞的競(jìng)爭(zhēng)����,它幾乎不可能知道它的安全問(wèn)題首先解決�。供應(yīng)商的建議提供了一個(gè)行之有效的手段上的已知攻擊向量。但有一個(gè)更有利的選擇:竊聽(tīng)攻擊自己����。
鑒于其日益龐大的攻擊面,大多數(shù)組織將其脆弱性管理周期的供應(yīng)商公告����。但最初披露的安全漏洞并不總是來(lái)自廠商�,并等待官方公告可以把你天����,甚至幾個(gè)星期,背后的攻擊者��,誰(shuí)討論和分享教程在幾個(gè)小時(shí)的漏洞成為已知����。
“網(wǎng)上聊天[開(kāi)始]通常在24到48小時(shí)的首次公開(kāi)披露,說(shuō):”利維Gundert��,在記錄未來(lái)的威脅情報(bào)的副總裁�,對(duì)外語(yǔ)論壇討論公司的深入分析,引用��。
供應(yīng)商的建議����、博客、郵件列表�����、國(guó)土安全證書警報(bào)--后衛(wèi)并不是唯一的閱讀這些公告。知道什么引起攻擊者的興趣����,他們打算如何利用洞前����,廠商可以做出回應(yīng),是讓在下一波攻擊跳的好方法���。
去年的java對(duì)象序列化的缺陷提供了一個(gè)完美的例子�。首次披露在一月2015會(huì)議上說(shuō)��,缺陷不吸引注意到11月6日�,在毛地黃的安全研究人員發(fā)現(xiàn)問(wèn)題影響多核心的企業(yè)應(yīng)用,如WebSphere和JBoss��。它把Oracle另一個(gè)12天和詹金斯19日發(fā)布正式公告解決在WebLogic服務(wù)器和詹金斯的漏洞�。
攻擊者社區(qū),然而�,幾小時(shí)后就開(kāi)始討論毛地黃的安全博客,和概念的攻擊代碼的證明出現(xiàn)了六天后��,發(fā)現(xiàn)記錄本��。描述如何執(zhí)行攻擊的詳細(xì)說(shuō)明如何執(zhí)行該攻擊是在11月13日前五天發(fā)布的任何東西。在十二月的第一周�����,攻擊者已經(jīng)交易了脆弱的組織和特定的鏈接��,以觸發(fā)這些目標(biāo)的缺陷的名稱��。
“很明顯���,脆弱性識(shí)別和供應(yīng)商發(fā)布的補(bǔ)丁或解決威脅演員之間的時(shí)間是寶貴的����,但當(dāng)詳細(xì)的開(kāi)發(fā)指南可在多種語(yǔ)言�����,那時(shí)候三角洲可能是災(zāi)難性的企業(yè)�,”Gundert說(shuō)。
的opcache二進(jìn)制webshell漏洞在PHP 7的另一個(gè)例子是攻擊者向前跳躍游戲�����。安全公司gosecure描述4月27日的新開(kāi)拓���,并記錄本發(fā)現(xiàn)了一個(gè)教程講解如何使用引用gosecure的博客4月30日概念證明���。作為gosecure指出���,該漏洞沒(méi)有普遍影響PHP應(yīng)用程序。但是�,與所得到的教程,攻擊者可以有一個(gè)更容易的時(shí)間找到具有潛在危險(xiǎn)的配置���,使他們?nèi)菀资艿轿募蟼髀┒吹姆⻊?wù)器。
“即使不起眼的博客得到回升����,”Gundert說(shuō)。
對(duì)于大多數(shù)人來(lái)說(shuō)�����,gosecure的博客都被忽略了���。有了如此多的競(jìng)爭(zhēng)報(bào)告��,如果博客文章沒(méi)有得到太多的牽引力在后衛(wèi)的社區(qū)��,潛在的攻擊向量�����,它討論了有效地被忽視����。然而,在鴻溝的另一邊��,攻擊者正在討論的缺陷和共享信息和工具�����,利用它���。
等待供應(yīng)商讓你更容易
攻擊者獲得如此大的跳躍對(duì)供應(yīng)商和安全的優(yōu)點(diǎn)的一個(gè)原因是該漏洞公告過(guò)程本身����。
供應(yīng)商的聲明通常是與當(dāng)一個(gè)安全漏洞獲取一個(gè)常見(jiàn)漏洞和披露(CVE)標(biāo)識(shí)符�����。CVE系統(tǒng)是由MITRE公司的維護(hù)�����,一個(gè)非營(yíng)利組織,作為一個(gè)公開(kāi)的安全漏洞信息的中央存儲(chǔ)庫(kù)�。當(dāng)有人發(fā)現(xiàn)一個(gè)安全漏洞,無(wú)論是應(yīng)用程序所有者����,研究員,或一個(gè)第三方的實(shí)體作為一個(gè)經(jīng)紀(jì)人�����,MITRE接收一個(gè)新的CVE的要求��。
一旦切割分配一個(gè)標(biāo)識(shí)符��,類似的漏洞的社會(huì)安全號(hào)碼����,供應(yīng)商的安全行業(yè)�����,企業(yè)有辦法識(shí)別�����,討論,和缺陷��,它可以固定份額的細(xì)節(jié)����。在案件的初始披露不是來(lái)自廠商,如與java對(duì)象序列化的缺陷����,攻擊者有過(guò)防守隊(duì)員仍在等待CVE被分配一個(gè)開(kāi)端。
這個(gè)時(shí)間差是至關(guān)重要的�。當(dāng)然,有這么多的漏洞進(jìn)行研究����,評(píng)估和減輕,但只有有限的保障資源打擊他們����,過(guò)濾基于是否缺陷CVE漏洞報(bào)告是一個(gè)“合理分配的態(tài)度,“讓企業(yè)慎之又慎����,說(shuō)高面包車Someren����,Linux基金會(huì)首席技術(shù)官����。的含義
“很明顯,脆弱性識(shí)別和供應(yīng)商發(fā)布的補(bǔ)丁或解決威脅演員之間的時(shí)間是寶貴的����,但當(dāng)詳細(xì)的開(kāi)發(fā)指南可在多種語(yǔ)言,那時(shí)候三角洲可能是災(zāi)難性的企業(yè)���,”Gundert說(shuō)�。
的opcache二進(jìn)制webshell漏洞在PHP 7的另一個(gè)例子是攻擊者向前跳躍游戲���。安全公司gosecure描述4月27日的新開(kāi)拓,并記錄本發(fā)現(xiàn)了一個(gè)教程講解如何使用引用gosecure的博客4月30日概念證明����。作為gosecure指出,該漏洞沒(méi)有普遍影響PHP應(yīng)用程序���。但是��,與所得到的教程���,攻擊者可以有一個(gè)更容易的時(shí)間找到具有潛在危險(xiǎn)的配置�,使他們?nèi)菀资艿轿募蟼髀┒吹姆⻊?wù)器��。
“即使不起眼的博客得到回升���,”Gundert說(shuō)����。
對(duì)于大多數(shù)人來(lái)說(shuō)��,gosecure的博客都被忽略了����。有了如此多的競(jìng)爭(zhēng)報(bào)告,如果博客文章沒(méi)有得到太多的牽引力在后衛(wèi)的社區(qū)����,潛在的攻擊向量,它討論了有效地被忽視�����。然而,在鴻溝的另一邊��,攻擊者正在討論的缺陷和共享信息和工具����,利用它。
等待供應(yīng)商讓你更容易
攻擊者獲得如此大的跳躍對(duì)供應(yīng)商和安全的優(yōu)點(diǎn)的一個(gè)原因是該漏洞公告過(guò)程本身����。
供應(yīng)商的聲明通常是與當(dāng)一個(gè)安全漏洞獲取一個(gè)常見(jiàn)漏洞和披露(CVE)標(biāo)識(shí)符。CVE系統(tǒng)是由MITRE公司的維護(hù)��,一個(gè)非營(yíng)利組織��,作為一個(gè)公開(kāi)的安全漏洞信息的中央存儲(chǔ)庫(kù)�����。當(dāng)有人發(fā)現(xiàn)一個(gè)安全漏洞��,無(wú)論是應(yīng)用程序所有者���,研究員,或一個(gè)第三方的實(shí)體作為一個(gè)經(jīng)紀(jì)人�,MITRE接收一個(gè)新的CVE的要求���。
一旦切割分配一個(gè)標(biāo)識(shí)符,類似的漏洞的社會(huì)安全號(hào)碼����,供應(yīng)商的安全行業(yè),企業(yè)有辦法識(shí)別�����,討論�,和缺陷,它可以固定份額的細(xì)節(jié)����。在案件的初始披露不是來(lái)自廠商,如與java對(duì)象序列化的缺陷����,攻擊者有過(guò)防守隊(duì)員仍在等待CVE被分配一個(gè)開(kāi)端。
這個(gè)時(shí)間差是至關(guān)重要的����。當(dāng)然,有這么多的漏洞進(jìn)行研究,評(píng)估和減輕�����,但只有有限的保障資源打擊他們����,過(guò)濾基于是否缺陷CVE漏洞報(bào)告是一個(gè)“合理分配的態(tài)度,“讓企業(yè)慎之又慎�����,說(shuō)高面包車Someren�����,Linux基金會(huì)首席技術(shù)官��。其含義是��,一旦缺陷有一個(gè)漏洞�����,它的存在和需要注意的問(wèn)題�����。
但最近���,CVE系統(tǒng)本身已經(jīng)成為一個(gè)瓶頸���。一些安全專家抱怨他們無(wú)法獲得及時(shí)從MITRE漏洞CVE。延遲有一個(gè)影響-這是很難協(xié)調(diào)固定與軟件制造商�,合作伙伴和其他研究人員,如果沒(méi)有一個(gè)系統(tǒng)��,以確保每個(gè)人都指的是相同的問(wèn)題��。當(dāng)前問(wèn)題的一部分是規(guī)模����,因?yàn)檐浖袠I(yè)比十年前更大,而且在更大的數(shù)量上發(fā)現(xiàn)了漏洞�����。記錄本的分析顯示����,在分配的CVE給攻擊者的時(shí)間來(lái)發(fā)展和完善自己的工具和技術(shù)的延遲�。
“有人認(rèn)為��,如果沒(méi)有一個(gè)CVE那也不是一個(gè)現(xiàn)實(shí)的問(wèn)題很多���,這是一個(gè)巨大的問(wèn)題��,說(shuō):”杰克Kouns�,基于安全風(fēng)險(xiǎn)的首席信息安全官��。
另一個(gè)問(wèn)題是��,并不是所有的漏洞得到分配不足����,如Web應(yīng)用程序的更新服務(wù)器,不需要客戶互動(dòng)�。不幸的是,移動(dòng)應(yīng)用程序的漏洞�����,需要安裝一個(gè)更新的客戶互動(dòng)也不能機(jī)械地����。有14185的漏洞報(bào)告��,在2015�����,6000以上是國(guó)家漏洞數(shù)據(jù)庫(kù)和CVE報(bào)道,根據(jù)基于風(fēng)險(xiǎn)的安全vulndb報(bào)告2015���。
“CVE系統(tǒng)消費(fèi)者和信息安全從業(yè)人員實(shí)際上不是衡量風(fēng)險(xiǎn)和安全影響的實(shí)際價(jià)值���,但編目所有已知的風(fēng)險(xiǎn),一個(gè)系統(tǒng)無(wú)論輕重����,說(shuō):”Kymberlee價(jià)格,在Bugcrowd研究員高級(jí)營(yíng)運(yùn)總監(jiān)����。
時(shí)間開(kāi)始聽(tīng)
由于CVE不覆蓋每一個(gè)漏洞,你必須超越CVE拿什么來(lái)您的方式完成的畫���。這意味著你應(yīng)該停止把你的漏洞管理活動(dòng)的獨(dú)家供應(yīng)商的聲明和開(kāi)始探索其他來(lái)源的信息保持在最新的披露�。如果他們?cè)谀愕沫h(huán)境中尋找新的概念證明的概念����,你的脆弱性管理團(tuán)隊(duì)將更為有效����。
有很多可用的超出官方供應(yīng)商notificatio公開(kāi)漏洞信息 |
|
加載中...
發(fā)表于 2016-6-16 19:16:22
收藏