調查|漏洞修復平均時長為38天!
責編:gltian |2018-09-04 13:20:37根據一則專注于Web應用程序攻擊趨勢的最新報告顯示,大多數公司及組織需要一個多月才能修補其系統中存在的關鍵漏洞。
這份數據來自TCell,該公司研究人員分析了其客戶群所經歷的超過3.16億次安全事件,以及在AWS和Azure生態系統中的最常見類型的真實攻擊案例,并于近日發布了《2018年第二季度生產環境Web應用程序安全報告》。
據悉,TCell是于去年才首次發布了這份報告,并注意到組織面臨的攻擊-違約率(attack-to-breach ratio)過高——攻擊者在成功突破之前經歷的嘗試次數為10萬:1。針對Web應用程序的攻擊頻率之所以如此之高,是因為攻擊者使用自動化技術來捕獲應用程序中的漏洞,進而實施針對性攻擊。
今年,TCell公司對上一季度的數據進行了分析,并形成了《2018年第二季度生產環境Web應用程序安全報告》,以了解從應用程序訪問安全數據如何影響團隊保護應用程序的能力。結果發現,擁有這些數據的安全團隊獲得了可衡量的流程改進以進行補救工作,他們使用這些數據來改善與開發人員和運營同行間的協作關系,并幫助任務超負荷的安全團隊確定工作優先級,以便更為有序、高效地完成補救工作。
在第二季度的報告中,研究人員發現了兩種主要攻擊方式:一個是針對應用程序用戶的嘗試跨站點腳本(XSS)攻擊,這是檢測到的最常見的安全事件類型。不過,研究人員進一步指出,大多數XSS實例只是攻擊嘗試。去年,只有1/1200次攻擊嘗試取得了成功,這也使得很難將實際的違規行為與攻擊嘗試區分開來。
第二個常見的攻擊類型是SQL注入,它被用于訪問敏感數據或運行OS命令,以進一步獲取目標系統的訪問權限。此外,自動化威脅、fire路徑遍歷以及命令注入共同構成了第二季度“最常見的5大Web應用程序攻擊類型”。
研究人員還發現了攻擊方式的差異。按數量計,大多數是掃描攻擊,在這種攻擊方式中,攻擊者會使用每一種可能的易于測試的攻擊來探測許多目標應用程序;此外,針對性攻擊的數量也正呈現激增趨勢,在這種攻擊方式中,攻擊者會針對個別具有高價值漏洞的高級威脅應用程序進行攻擊:例如,命令注入將惡意代碼置于服務器上,或者使用受損的憑據來獲取管理訪問權限等。
雖然這兩者間看似都出于經濟動機,但是通過這兩種不同的方式卻可以實現截然不同的攻擊目標——掃描攻擊實現攻擊規模的廣度;而針對性攻擊實現攻擊影響的深度。
此外,值得一提的是,TCell列出的“最常見的5大Web應用程序攻擊類型”——嘗試跨站點腳本(XSS)攻擊、SQL注入、自動化威脅、fire路徑遍歷以及命令注入與開放式Web應用程序安全項目(OWASP,Open Web Application Security Project)列出的“最常見的Web應用風險”也是截然不同,它們分別為注入漏洞、受損的身份驗證、敏感數據暴露、XML外部實體漏洞以及受損的訪問控制。
研究人員解釋稱,造成這種差異的原因在于,TCell專門考慮了生產中存在于公共云環境中的攻擊和漏洞,而OWASP則考慮了更廣泛的數據集,這導致了“對同一問題產生不同看法”的結果。
CVEs:普及和補丁
根據TCell的報告顯示,90%的活躍應用程序中都有一個已知的CVE;而在第二季度中,有高達30%的活躍應用程序甚至還包含一個關鍵的CVE。研究人員在其報告中解釋稱,安全專家檢測到每個應用程序平均有2,900個孤立路徑或暴露的API端點,這暴露了應用程序存在巨大的攻擊面,甚至遍布安全“盲點”。
然而,不幸的現實是,面對日益擴大的攻擊面,組織用于修復漏洞的平均時長竟然高達38天之久。其中,修復最關鍵的CVE平均也需要34天的時間。研究人員指出,這些統計數據可能會受到組織規模的影響,因為與較小的企業相比,較大的企業通常需要花費更長的時間來修補漏洞。
報告顯示,越是不嚴重的漏洞,其修復時間滯后越嚴重。一般來說,中等嚴重性漏洞平均需要39天才能修復;嚴重程度較低的漏洞平均需要54天完成修復;而最老舊的未修復CVE則需要花費近一年(340天)才能得以解決。
好消息是,這些數字正在往好的方向發展,受害者企業用于修復漏洞的時長正在大幅減少,因為越來越多的組織及其安全團隊已經意識到加速推出安全補丁的重要性,其不僅能夠最大限度地降低安全事件影響規模,還能幫助組織減少一大筆經濟損失。
Web應用安全:企業正在做什么
研究人員指出,目前,具有前瞻性的公司正在采用與DevOps和云集成的應用安全方法。實現這一目標的技術(如RASP)仍然很新且正在不斷發展演變,但其是對WAF、AST和waterfall SDLC流程的改進。
然而,大多數企業和團隊尚未接受這種變化,且仍保持著落后的狀態,完全沒有意識到自己的安全工具和策略已經遠遠落后于自己部署的軟件和基礎設施。
更具諷刺意味的是,這些處于落后狀態的企業通常都是在安全項目上花費最大的企業,但他們所取得的成效卻明顯低于那些采取更靈活、高效方式的同行。
公司應該充分了解自身面臨的具體風險——如果你在互聯網上有一個應用程序,它最終將受到攻擊——并使用正確的工具和數據來實現風險最小化。