压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Kenna Security更新反FUD分析報告，緩解安全漏洞焦慮情緒。

信息安全行業盛產關于軟件漏洞的FUD（懼、惑、疑），也很是適應軟件漏洞FUD滿天飛的狀態，但近期一份調查研究報告當眾打臉FUD，揭示2019年披露的1.8萬個CVE中僅不到500個遭到利用。

美國信息安全公司Kenna Security日前發布研究報告稱，盡管當年有成千上萬個漏洞獲得CVE追蹤編號，其中卻僅有473個遭到可能影響公司企業的惡意利用。

也就是說，2019年報告的漏洞遭到惡意利用的概率僅2.6%，為業界評估聯網公司面臨的威脅規模提供了新的視角。

Kenna聯合創始人兼首席技術官Ed Bellis向媒體透露，這份分析報告專注有可能影響其客戶的那些CVE，473這個數字甚至能夠進一步削減。即使該公司沒有過濾這1.8萬個CVE，比如說只分析影響企業軟件的那些漏洞，漏洞披露數量與實際遭利用數量之間的對比也十分鮮明了。

Kenna Security的報告斷言：“這473個漏洞中僅6%曾經達到過被超1/100的組織廣泛利用的程度。漏洞利用程序‘在野’并不意味著就已經肆虐全網了?！?/p>

“納入CVE列表發布之時，>50%（最終遭野生利用）的漏洞都已經存在漏洞利用代碼了。但在防御者的不懈努力下，其中80%的CVE在披露之時就發布了補丁。”

漏洞就在那里，但一切都極其不安全，有時只有純靠運氣才能避免數據盜竊、拒絕服務攻擊等等危險的觀念，可能只是假相。真相令人意外！

CVE、CNA、CVSS，還能再C出幾個縮寫嗎？

盡管并不完美，CVE也是廣為接受的公共領域漏洞數量與嚴重性度量。過去幾年，CVE編號機構（CNA）大量冒出，刺激了報告CVE數量的大幅增長。目前，超過150家組織機構有權分配CVE編號，雖然其中大多數不過是只負責自身產品的供應商（如英國當下只有三家CNA：Canonical、Snyk和Sophos，而這三家全部都是軟件和信息安全供應商）。

學術界也質疑CVE評分的重復性和一致性，德國一家大學就正在進行關于通用漏洞評分系統（CVSS）的研究，主要分析不同人員分配評分產生迥異結果的原因和方式。

而且，CVE成因大不同。雖然圍繞一波波漏洞的大多數FUD總是令人聯想起惡人小組無情發現并利用漏洞執行進一步破壞，連信息安全人員都扛不住，但真相有時候沒那么戲劇化。

本月早些時候，谷歌就生動演繹了什么叫不過是人為失誤。其Project Zero抱怨垃圾安全補丁未能完全修復CVE披露的問題。兩天后，谷歌Chromium驗證了Project Zero抱怨的問題，是11月時未能恰當修復的一個老舊Chromium零日漏洞。

Kenna Security報告原文：

https://www.kennasecurity.com/resources/prioritization-to-prediction-reports/

來源：數世咨詢