|
|
黑客:黑客竊聽英特爾在新興威脅,灰鴿子下載�,遠(yuǎn)程控制軟件
![]()
在黑客論壇的在線聊天�,可以給你一個(gè)跳躍的漏洞你的供應(yīng)商沒有固定
海洋中的一個(gè)漏洞的競爭,它幾乎不可能知道它的安全問題首先解決�。供應(yīng)商的建議提供了一個(gè)行之有效的手段上的已知攻擊向量。但有一個(gè)更有利的選擇:竊聽攻擊自己���。
鑒于其日益龐大的攻擊面,大多數(shù)組織將其脆弱性管理周期的供應(yīng)商公告�����。但最初披露的安全漏洞并不總是來自廠商�����,并等待官方公告可以把你天,甚至幾個(gè)星期�,背后的攻擊者,誰討論和分享教程在幾個(gè)小時(shí)的漏洞成為已知�����。
“網(wǎng)上聊天[開始]通常在24到48小時(shí)的首次公開披露�,說:”利維Gundert,在記錄未來的威脅情報(bào)的副總裁�����,對外語論壇討論公司的深入分析�����,引用���。
供應(yīng)商的建議���、博客、郵件列表�����、國土安全證書警報(bào)--后衛(wèi)并不是唯一的閱讀這些公告。知道什么引起攻擊者的興趣�����,他們打算如何利用洞前�����,廠商可以做出回應(yīng)���,是讓在下一波攻擊跳的好方法�����。
去年的java對象序列化的缺陷提供了一個(gè)完美的例子�����。首次披露在一月2015會議上說�,缺陷不吸引注意到11月6日�����,在毛地黃的安全研究人員發(fā)現(xiàn)問題影響多核心的企業(yè)應(yīng)用�����,如WebSphere和JBoss�。它把Oracle另一個(gè)12天和詹金斯19日發(fā)布正式公告解決在WebLogic服務(wù)器和詹金斯的漏洞。
攻擊者社區(qū)�����,然而���,幾小時(shí)后就開始討論毛地黃的安全博客�,和概念的攻擊代碼的證明出現(xiàn)了六天后�����,發(fā)現(xiàn)記錄本���。描述如何執(zhí)行攻擊的詳細(xì)說明如何執(zhí)行該攻擊是在11月13日前五天發(fā)布的任何東西�����。在十二月的第一周���,攻擊者已經(jīng)交易了脆弱的組織和特定的鏈接�,以觸發(fā)這些目標(biāo)的缺陷的名稱�。
“很明顯,脆弱性識別和供應(yīng)商發(fā)布的補(bǔ)丁或解決威脅演員之間的時(shí)間是寶貴的�����,但當(dāng)詳細(xì)的開發(fā)指南可在多種語言�,那時(shí)候三角洲可能是災(zāi)難性的企業(yè),”Gundert說�����。
的opcache二進(jìn)制webshell漏洞在PHP 7的另一個(gè)例子是攻擊者向前跳躍游戲���。安全公司gosecure描述4月27日的新開拓�,并記錄本發(fā)現(xiàn)了一個(gè)教程講解如何使用引用gosecure的博客4月30日概念證明�。作為gosecure指出,該漏洞沒有普遍影響PHP應(yīng)用程序�。但是,與所得到的教程���,攻擊者可以有一個(gè)更容易的時(shí)間找到具有潛在危險(xiǎn)的配置���,使他們?nèi)菀资艿轿募蟼髀┒吹姆⻊?wù)器。
“即使不起眼的博客得到回升�����,”Gundert說�����。
對于大多數(shù)人來說���,gosecure的博客都被忽略了�。有了如此多的競爭報(bào)告�,如果博客文章沒有得到太多的牽引力在后衛(wèi)的社區(qū),潛在的攻擊向量�����,它討論了有效地被忽視�。然而,在鴻溝的另一邊���,攻擊者正在討論的缺陷和共享信息和工具���,利用它�����。
等待供應(yīng)商讓你更容易
攻擊者獲得如此大的跳躍對供應(yīng)商和安全的優(yōu)點(diǎn)的一個(gè)原因是該漏洞公告過程本身�����。
供應(yīng)商的聲明通常是與當(dāng)一個(gè)安全漏洞獲取一個(gè)常見漏洞和披露(CVE)標(biāo)識符�����。CVE系統(tǒng)是由MITRE公司的維護(hù)�,一個(gè)非營利組織�,作為一個(gè)公開的安全漏洞信息的中央存儲庫。當(dāng)有人發(fā)現(xiàn)一個(gè)安全漏洞�,無論是應(yīng)用程序所有者,研究員�����,或一個(gè)第三方的實(shí)體作為一個(gè)經(jīng)紀(jì)人�����,MITRE接收一個(gè)新的CVE的要求。
一旦切割分配一個(gè)標(biāo)識符�����,類似的漏洞的社會安全號碼�����,供應(yīng)商的安全行業(yè)�,企業(yè)有辦法識別���,討論�,和缺陷�����,它可以固定份額的細(xì)節(jié)�。在案件的初始披露不是來自廠商,如與java對象序列化的缺陷�����,攻擊者有過防守隊(duì)員仍在等待CVE被分配一個(gè)開端。
這個(gè)時(shí)間差是至關(guān)重要的�。當(dāng)然,有這么多的漏洞進(jìn)行研究���,評估和減輕���,但只有有限的保障資源打擊他們,過濾基于是否缺陷CVE漏洞報(bào)告是一個(gè)“合理分配的態(tài)度���,“讓企業(yè)慎之又慎�����,說高面包車Someren�,Linux基金會首席技術(shù)官�����。的含義
“很明顯�,脆弱性識別和供應(yīng)商發(fā)布的補(bǔ)丁或解決威脅演員之間的時(shí)間是寶貴的,但當(dāng)詳細(xì)的開發(fā)指南可在多種語言�,那時(shí)候三角洲可能是災(zāi)難性的企業(yè),”Gundert說�。
的opcache二進(jìn)制webshell漏洞在PHP 7的另一個(gè)例子是攻擊者向前跳躍游戲�����。安全公司gosecure描述4月27日的新開拓���,并記錄本發(fā)現(xiàn)了一個(gè)教程講解如何使用引用gosecure的博客4月30日概念證明。作為gosecure指出���,該漏洞沒有普遍影響PHP應(yīng)用程序�。但是�,與所得到的教程�,攻擊者可以有一個(gè)更容易的時(shí)間找到具有潛在危險(xiǎn)的配置,使他們?nèi)菀资艿轿募蟼髀┒吹姆⻊?wù)器�。
“即使不起眼的博客得到回升,”Gundert說�。
對于大多數(shù)人來說,gosecure的博客都被忽略了�����。有了如此多的競爭報(bào)告�����,如果博客文章沒有得到太多的牽引力在后衛(wèi)的社區(qū),潛在的攻擊向量���,它討論了有效地被忽視���。然而,在鴻溝的另一邊���,攻擊者正在討論的缺陷和共享信息和工具�����,利用它���。
等待供應(yīng)商讓你更容易
攻擊者獲得如此大的跳躍對供應(yīng)商和安全的優(yōu)點(diǎn)的一個(gè)原因是該漏洞公告過程本身。
供應(yīng)商的聲明通常是與當(dāng)一個(gè)安全漏洞獲取一個(gè)常見漏洞和披露(CVE)標(biāo)識符�。CVE系統(tǒng)是由MITRE公司的維護(hù),一個(gè)非營利組織���,作為一個(gè)公開的安全漏洞信息的中央存儲庫�����。當(dāng)有人發(fā)現(xiàn)一個(gè)安全漏洞�����,無論是應(yīng)用程序所有者�����,研究員���,或一個(gè)第三方的實(shí)體作為一個(gè)經(jīng)紀(jì)人�����,MITRE接收一個(gè)新的CVE的要求�����。
一旦切割分配一個(gè)標(biāo)識符,類似的漏洞的社會安全號碼���,供應(yīng)商的安全行業(yè)���,企業(yè)有辦法識別,討論�����,和缺陷,它可以固定份額的細(xì)節(jié)�。在案件的初始披露不是來自廠商,如與java對象序列化的缺陷�,攻擊者有過防守隊(duì)員仍在等待CVE被分配一個(gè)開端。
這個(gè)時(shí)間差是至關(guān)重要的�。當(dāng)然,有這么多的漏洞進(jìn)行研究�����,評估和減輕���,但只有有限的保障資源打擊他們�,過濾基于是否缺陷CVE漏洞報(bào)告是一個(gè)“合理分配的態(tài)度�,“讓企業(yè)慎之又慎,說高面包車Someren�,Linux基金會首席技術(shù)官。其含義是�����,一旦缺陷有一個(gè)漏洞�,它的存在和需要注意的問題�。
但最近�,CVE系統(tǒng)本身已經(jīng)成為一個(gè)瓶頸。一些安全專家抱怨他們無法獲得及時(shí)從MITRE漏洞CVE�����。延遲有一個(gè)影響-這是很難協(xié)調(diào)固定與軟件制造商�����,合作伙伴和其他研究人員���,如果沒有一個(gè)系統(tǒng)�����,以確保每個(gè)人都指的是相同的問題�。當(dāng)前問題的一部分是規(guī)模�,因?yàn)檐浖袠I(yè)比十年前更大�,而且在更大的數(shù)量上發(fā)現(xiàn)了漏洞。記錄本的分析顯示���,在分配的CVE給攻擊者的時(shí)間來發(fā)展和完善自己的工具和技術(shù)的延遲�����。
“有人認(rèn)為���,如果沒有一個(gè)CVE那也不是一個(gè)現(xiàn)實(shí)的問題很多�,這是一個(gè)巨大的問題�����,說:”杰克Kouns���,基于安全風(fēng)險(xiǎn)的首席信息安全官�。
另一個(gè)問題是���,并不是所有的漏洞得到分配不足�����,如Web應(yīng)用程序的更新服務(wù)器�����,不需要客戶互動�。不幸的是,移動應(yīng)用程序的漏洞�,需要安裝一個(gè)更新的客戶互動也不能機(jī)械地。有14185的漏洞報(bào)告�,在2015,6000以上是國家漏洞數(shù)據(jù)庫和CVE報(bào)道�,根據(jù)基于風(fēng)險(xiǎn)的安全vulndb報(bào)告2015。
“CVE系統(tǒng)消費(fèi)者和信息安全從業(yè)人員實(shí)際上不是衡量風(fēng)險(xiǎn)和安全影響的實(shí)際價(jià)值���,但編目所有已知的風(fēng)險(xiǎn)�,一個(gè)系統(tǒng)無論輕重�,說:”Kymberlee價(jià)格,在Bugcrowd研究員高級營運(yùn)總監(jiān)�。
時(shí)間開始聽
由于CVE不覆蓋每一個(gè)漏洞,你必須超越CVE拿什么來您的方式完成的畫�。這意味著你應(yīng)該停止把你的漏洞管理活動的獨(dú)家供應(yīng)商的聲明和開始探索其他來源的信息保持在最新的披露。如果他們在你的環(huán)境中尋找新的概念證明的概念���,你的脆弱性管理團(tuán)隊(duì)將更為有效�。
有很多可用的超出官方供應(yīng)商notificatio公開漏洞信息 |
|
加載中...
發(fā)表于 2016-6-16 19:16:22
收藏