新闻资讯
全部分类

OT侧漏洞管理面临巨大挑战

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-03-09 01:51
  • 访问量:

【概要描述】知名网络安全企业Skybox Security发布了年度漏洞研究报告《2020年漏洞和威胁趋势》,本文对报告精华传递无疑,干货满满,赶紧点开查阅吧!

OT侧漏洞管理面临巨大挑战

【概要描述】知名网络安全企业Skybox Security发布了年度漏洞研究报告《2020年漏洞和威胁趋势》,本文对报告精华传递无疑,干货满满,赶紧点开查阅吧!

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-03-09 01:51
  • 访问量:
详情

【编者按】2020年2月中旬,知名网络安全企业Skybox Security发布了其年度漏洞研究报告《2020年漏洞和威胁趋势》。报告对2019年公开发布的17000多个各型漏洞进行了深入分析发现,与2018年相比,新漏洞的数量趋于稳定,但中等风险的漏洞占比增加;影响多个供应商的漏洞引起了更高的关注;Windows仍然是最易受攻击的操作系统;Chrome是最易受攻击的浏览器;Android是最脆弱的产品;西门子被爆出最多的新OT漏洞;等等。关于漏洞管理的建议,报告传递了三个关键的信息。1、尽管CVSS评分是了解漏洞对组织造成的风险的重要方面,但也应适当考虑了解其现实可用性。因为在OT域,某些CVSS评分不高的漏洞,一旦利用成功,也可能造成重大的危害或损失(停产、人员伤亡等)。2、中等风险漏洞应当受到重视,需要结合IT/OT环境的综合状况确定漏洞修复的优先级。在安全防御者把大量注意力和精力放在高风险漏洞的修复上时,中等严重性漏洞可能在公开渠道被积极利用,而评级为严重性漏洞尚未得到利用。3、在OT域,更需要将最新的威胁情报融入漏洞管理程序中,以便有效抵御动态威胁。OT网络的特点决定了其漏洞管理的困难性,安全管理者对其网络风险的责任变得更加艰巨且复杂,需要借助情报支持增强漏洞管理的针对性和有效性。

 

  近日,Skybox Security公司发布了其《 2020年漏洞和威胁趋势》研究报告,对2019年发布的17000多个漏洞进行了分类研究,展示了这些漏洞更多的背景信息。提供的深度见解和建议可帮助防御者调整安全策略,以有效应对当前威胁形势。每年报告的新漏洞数量是巨大的,大量的漏洞给企业安全环境带来了新的复杂性挑战,并给扩展的资源带来了额外的压力,以首先修复风险最大的漏洞。漏洞管理不能割裂式的进行,需要了解不断变化的内部和外部因素,将此类情报整合到漏洞管理程序中将有助于将漏洞置于基于风险的环境中,并将补救措施聚焦于最有可能被攻击者利用的一小部分漏洞。SKYBOX的报告呈现了漏洞态势的四个特点,需要引起CISO和安全领导者的高度重视,以更好地了解漏洞影响和威胁格局以及其防御策略的趋势。

 

  一、新的CVE数量趋于稳定,中等严重漏洞的数量不断增加

  在2019年报告的新漏洞数量仅增长了3.8%,这表明在经过几年的快速增长之后,我们可能会看到更多的稳定性。 在新报告中,有40%是中等严重程度的漏洞,高于去年的34%。 黑客知道,中等严重性并不等于中等风险:他们将这些漏洞视为机遇。他们知道,安全团队的主要精力投稿到大量的严重和高严重性漏洞的修复工作中,因此,对这类漏洞的利用和攻击条件更成熟。安全团队需要关注这一不断扩大的细微变化,并了解暴露的中等严重性漏洞比孤立的较高严重性漏洞要危险得多。

  1、新报告的漏洞数量开始趋于稳定

  2019年报告了17,220个新漏洞,比去年同期增长了3.8%。目前看来,去年的趋势一直在保持,并且数量保持稳定。这种稳定不应分散越来越多的漏洞给安全团队带来的负担。2019年,还看到了美国国家漏洞数据库(NVD)继续追踪过时的漏洞。NVD回填工作的净效果由下面的图1中的深灰线表示。

 

  图1 每年新增的CVE以及发现这些漏洞的年份

 

  2、中级漏洞占比增加

  就常见漏洞评分系统(CVSS)分数而言,针对低、中、高和严重的漏洞的增长速度与2018年相似。尽管高度严重的漏洞仍然占多数,但它们开始让位于中等严重程度的漏洞。去年,中等严重级别的漏洞占所有实例的34%。今年,他们占据了更大的比例:40%。

  中度不等于中度风险。组织依靠CVSS分数来确定其补救策略;如果他们发现自己的基础架构中存在高风险或高度严重的漏洞,他们将选择进行补救而先搁置中等风险的漏洞。这意味着很长一段时间,大量中等严重程度的漏洞可能会在组织的网络中扩散。攻击者知道这一点,这也是中等严重程度的漏洞对其如此吸引力的原因。如果未修复高度暴露的中等严重性漏洞,则其利用可能导致大量损坏。

  因此,这一不断增加的份额应引起一些关注。安全团队需要根据其漏洞的暴露程度来考虑优先级修复,并不应该依赖于CVSS评分。这些分数对于单独了解漏洞的属性很有用,但是不会也无法反映其在每个独特的安全环境中的暴露程度。

  

  图2 根据新漏洞的CVSS评分确定的严重性级别分布

 

  二、Microsoft漏洞急剧增加

  在2018年至2019年之间,Windows操作系统中的新漏洞数量增加了66%,使Microsoft的WINDOWS操作系统成为最易受攻击的操作系统。与操作系统相比,Windows产品中的漏洞数量也增加了75%,与Android下降了73%形成了鲜明的对比。

  Skybox正在确定哪个操作系统(OS)对NVD贡献了最多数量的漏洞。这其中还包括不确定的OS漏洞,比如说如果操作系统涉及漏洞,但不一定会导致该漏洞,该漏洞也在计算中。此外,如果在Windows上运行的特定软件的三个不同版本都容易受到攻击,但是在Linux上运行的只有一个版本是易受攻击的,那么我们将其视为Windows的三个漏洞和Linux的一个漏洞。此外,如果Internet Explorer和Edge在Windows 2008、2012或Windows Server 2008上运行时共享相同的漏洞,2019年,我们认为这是Windows的六种易受攻击的配置。

  在分析这些结果并了解Windows为何成为2019年最易受攻击的操作系统时,了解此处使用的方法很重要。Windows操作系统漏洞增加了66%以上,达到1,497个。唯一经历类似跃升的其他操作系统是macOS,其漏洞计数增加了74%,达到771。

  在这两种情况下,这些明显的上升都可以归因于Adobe产品。Adobe的报告做法导致了这两个数量急增:Adobe一次报告数十个漏洞,一些广泛使用的产品(即Reader和Acrobat)共享CVE,甚至可能共享代码库。Adobe还并行维护许多产品版本,并且仍对所有产品进行报告,例如,当前有五个受支持的Acrobat版本。

  另一个值得注意的情况是移动操作系统漏洞减少了23%。由于今年新的IoS漏洞数量几乎没有变化(从2018年报告的281个漏洞,适度增加到2019年的296个),因此这一下降可以归因于已发布的Android CVE的大幅减少。

  

  图3 最易受攻击的操作系统

 

  深入研究数据发现,每个Windows操作系统上发布的新漏洞都有蔓延的态势。虽然Windows的新型操作系统贡献了最多数量的新漏洞,这不足为奇,但其旧系统仍不能忽略。

  2019年甚至报告了三个新漏洞,这些漏洞会影响过时的WindowsXP,即101835(Bluekeep)、105545(程序间捕获标志错误)和110711(如果被利用,将允许通过远程桌面协议泄漏信息)。

 

  三、对多供应商漏洞的关注日益提高

  有影响力的漏洞或在多个供应商中广泛存在的漏洞变得越来越普遍。这些漏洞包括在英特尔处理器、PDF、网络堆栈IPnet和Netflix中发现的缺陷,这些缺陷会影响数十个供应商。发现新漏洞后,对于安全团队来说,评估其生态系统中有多少产品受到影响非常重要。

  尽管2019年漏洞报告的总体增长可能不太明显,但与往年相比,这些漏洞中的许多漏洞影响更大,对不少厂商的影响也更大。因此,他们可以被认为具有影响力-安全专业人员必须意识到这种影响,以便更好地保护其组织。下面列出了一些最具影响力的漏洞,并解释了为什么它们具有如此广泛的影响力。

  Netflix HTTP/2 DoS漏洞

  Netflix在2019年8月发现了八个资源耗尽向量,它们影响了多种第三方HTTP/2实现,可用于对受影响的服务器发起DoS攻击。该通报中披露的八个漏洞中,三个是NVD中最具影响力的漏洞。这些是影响17个不同供应商的CVE-2019-9517,影响16个供应商的CVE-2019-9512和影响14个供应商的CVE-2019-9515。

  尽管这些漏洞都无法在HTTP/1.1上运行,并且数据也没有受到威胁,但是HTTP/2的普遍性致使这些漏洞变得更具影响力。

  PDFex漏洞

  PDFex是PDF渗透的代名词。这些漏洞包括SBV 107862、107863、107864和107865,使攻击者能够窃听和操纵加密的PDF数据。之所以可以使用它们,是因为PDF加密使用的密码块链接(CBC)没有任何先天的完整性检查。

  由于PDF的使用如此广泛,因此这些漏洞将会影响大量供应商。受影响的包括Adobe,Apple和Foxit等。这些漏洞中有许多已经发布了PoC,因此组织在所有受影响的产品上安装补丁程序非常重要。

  URGENT/11漏洞

  在IPnet中发现了11个零日漏洞,这是实时操作系统(RTOS)中使用的堆栈,其中包括Green Hills的Integrity,Microsoft的ThreadX,Mentor的Nucleus RTOS,TRON Forum的ITRON和IP Infusion的ZebOS。如果利用这些漏洞,可能会造成严重影响:视频已被共享,攻击者从无害的Xerox机器上接管了各种各样的RTOS设备--至关重要的医院床头监视器。因此,DHS和FDA都发布了安全公告。

  这些漏洞非常普遍,因为没有人愿意编写自己的设备固件。不仅如此,“大牌厂商”尚未在行业中占有一席之地,这意味着所有受影响的这些设备是从IPnet的所有者Interpeak购买的。这些设备使用的协议很旧,实现它们的软件很旧,系统很难升级,并且运行RTOS的设备的半衰期很长。显然,这些错误已经存在了很多年,并且还会存在更长时间。

  需要特别注意的是,这些漏洞的CVSS评分仅为3,这意味着它们的评分为“低”。在这种情况下,对环境的上下文理解很重要。根据定义,运行RTOS的系统对中断更敏感。任何具有可能受到这些漏洞影响的关键基础架构的组织都需要超越简单的CVSS评分标准,并评估它们实际上对其敏感网络构成的高风险。

  长尾漏洞

  一个长尾漏洞是一个影响三到九个供应商的漏洞。今年,NVD报告了118个此类漏洞。Java中存在的漏洞在这里最常见,其中25个漏洞影响三个或四个不同的供应商。仅次于Java的是tcpdump,这是一个网络数据包分析器程序,具有15个长尾漏洞,各种Apache应用程序的漏洞总数排名第三,为12个。

 

  四、OT安全建议公告增加了53%

  2019年,美国工业控制系统网络应急响应小组(ICS–CERT)分享了创纪录的新OT安全建议。其中大多数归因于西门子,这表明ICS-CERT和西门子的漏洞报告工作都在提高。这表明目前比以往任何时候都更加迫切需要寻找保护关键OT网络的方法,尤其是当它们继续与Internet连接的IT系统连接时。

  在2019年,ICS-CERT已将其注意力转向了第三方产品子组件中存在的漏洞。这些缺陷可能会在各个供应商之间显现出来,而ICS–CERT通过发布针对同一文档中的多个易受攻击的供应商的联合安全建议而得到了认可。

  ICSA-19-043-033是2019年发布的最严重的OT漏洞之一,严重程度为10/10,它指出了WibuKey的数字版权管理产品中的多个漏洞。此漏洞允许特权提升,并具有远程代码执行(RCE)属性:如果被利用,攻击者可以控制受影响的控制和监视系统。考虑到OT设备与更广泛的业务IT环境不断增加的连接,此漏洞表明,拥有OT网络的组织迫切需要改善其关键基础架构周围的安全性。

  供应商发布的新ICS-CERT安全建议数量一直保持相对稳定,但有一个明显的例外:该团队在2019年发布的Siemens安全建议比2018年增加了53%。这一增长的原因可能是由于ICS-CERT以及西门子改进的报告工作机制。西门子的IT团队现在可能对OT环境有更高的意识。如果这是真的,这应该受到欢迎,这表明它的IT和OT团队正在以一种孤立的方式工作。

  

  图4 2018年和2019年共享的新ICS-CERT安全建议(按供应商划分)

 

  五、漏洞管理建议

  1、综合评估漏洞修复优先级

  尽管CVSS评分是了解漏洞对组织造成的风险的重要方面,但也应适当考虑了解其可利用性的可能性。迫切需要补救的某些漏洞可能被隐藏了:例如,CVSS中等严重性漏洞可能在公开渠道被积极利用,而评级为严重性漏洞尚未得到利用。在这种情况下,中等严重性漏洞将带来更大的风险,并且是更高的补救优先级,如果暴露在您的网络中则更是如此。

  为了将补救工作集中于最有可能在攻击中使用的一小部分漏洞,组织需要更好地了解其漏洞和资产的关联性。这包括牢牢把握:

  公开的利用活动

  打包的犯罪软件(例如勒索软件、漏洞利用工具包)中的漏洞利用

  漏洞利用情况及其潜在影响

  CVSS评分

  资产价值

  资产暴露面

  最后两个因素——资产价值和风险暴露面,对每个组织而言都不尽相同。这就是为什么在威胁环境中随时了解变化并在基础架构内关联这些信息特别重要的原因,据此准确地确定修复的优先级。这样的洞察力还将帮助组织从防火墙和入侵防御系统等现有的安全控制中获取更多价值。

  2、保护OT网络

  OT网络完全缺乏可见性及其风险使它们成为攻击的主要目标。此类网络通常由与IT网络不同的团队控制,禁止进行主动扫描,并且众所周知很难打补丁。尽管如此,即使在OT域内,对网络风险的责任通常仍由CISO承担。为了从整体上管理整个组织的风险,具有OT网络的组织必须:

  在OT环境中被动地从网络和安全技术收集数据

  建立包含IT和OT的离线模型,以了解连通性以及风险如何影响IT/OT环境

  使用专用传感器来被动发现OT网络中的漏洞

  整合威胁情报和资产风险以优先处理OT补丁

  当无法选择修补程序时,利用模型来确定修补程序的替代方案,以降低风险。

  安全团队被迫在复杂多变的环境中工作。无论是防御新兴的恶意软件,应对OT网络的威胁,还是只是试图跟上下一个要修复的漏洞,将准确、最新的威胁情报融入漏洞管理程序中,都将为他们抵御动态威胁提供优势。

  为了取得成功,CISO需要找到降低复杂性的方法,这些复杂性会给他们及其团队带来压力。创建更简单、更有效的安全规划的第一步是了解内部和外部威胁的环境。该报告列出了外部威胁的当前状况。 您可以利用内部环境的可见性和关联性,从基础架构内部关联各种情报资源,以创建强大而持久的安全规划。

 

  关于Skybox Security

  SkyboxSecurity成立于2002年,总部位于加利福尼亚州圣何塞,拥有全球销售和支持团队。 Skybox与渠道和技术联盟合作伙伴紧密合作,提供功能强大的产品和服务。Skybox 提供网络安全管理解决方案,以帮助企业安全地进行创新。该公司深入了解网络安全问题的根源,可以在各种用例中获得更好的可见性、关联性和自动化。 通过集成数据,提供新的见解和统一流程,可以在不限制业务敏捷性的情况下控制安全性。Skybox的综合解决方案将不同的安全理念融合在一起,将风险降到最低,并使安全规划能够迈向新的高度。通过消除障碍和复杂性,可以随时了解情况,更智能地工作并更快地推动业务发展。

  详情可见:www.skyboxsecurity.com | info@skyboxsecurity.com | +1 408 441 8060

  Copyright © 2020 Skybox Security, Inc. All rights reserved. Skybox is a trademark of Skybox Security, Inc. All other registered or unregistered trademarks are the sole property of their respective owners. 02112020

 

  参考资源

 

  SkyboxSecurity,2020 VULNERABILITY AND THREAT TRENDS,2020.02.12

关键词:

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号