旧漏洞的问题——以及如何应对

通常，IT 部门关注的是下一个威胁： 零日漏洞 潜伏在系统中，隐藏在视线之外的活板门。 这是可以理解的。 我们害怕未知，根据定义，零日漏洞是未知的。 如果攻击者最终识别出它们，头脑不可避免地会跳到它们可能造成的不可估量的损害。

但是，这种对下一个威胁（未知风险）的关注可能会损害组织。 因为事实证明，企业应该担心的大多数漏洞已经被发现。

根据 Securin 最近的一份报告，在 76 年被勒索软件利用的绝大多数（2022%）漏洞是在 2010 年至 2019 年间发现的旧漏洞。在 56 年与勒索软件相关的 2022 个漏洞中，有 20 个是在 2015 年之间发现的旧漏洞和 2019 年。

换句话说：在这个时候 勒索软件攻击 可能是组织面临的最大威胁，我们已经知道勒索软件攻击者最常利用的漏洞。 然而，无数公司已经向他们敞开了大门。

不能将这个持续存在的问题完全归咎于 IT 部门——大多数部门都过度劳累、过度紧张，并且忙于对来自各个方向的永无止境的威胁进行分类。 尽管如此，适当的网络安全卫生要求 IT 团队认真对待这些旧漏洞并将其纳入日常安全流程。

为什么旧漏洞被忽视

在研究公司究竟如何提高对旧漏洞的警惕性之前，让我们更深入地研究当今存在的问题。

首先，值得注意的是，这不是一个抽象的问题。 就在今年早些时候，据透露，多个威胁行为者利用了一名 3 岁的孩子 Progress Telerik 中的漏洞 破坏美国政府的一部分。 “利用此漏洞允许恶意行为者在联邦文职行政部门 (FCEB) 机构的 Microsoft Internet 信息服务 (IIS) Web 服务器上成功执行远程代码，” 受影响的机构 说过。

这里的部分问题归结为给定漏洞的生命周期。 当一个漏洞首次被发现时——当一个零日漏洞诞生时——每个人都会关注。 供应商发布并部署补丁，一定比例的受影响 IT 团队测试并安装它。 当然，并不是每个受影响的 IT 团队都能解决这个问题——他们可能认为这不是一个优先事项，或者它可能只是从他们的流程中漏掉了。

几个月或几年过去了，零日漏洞变成了数百个旧漏洞中的另一个。 IT 部门的高流动率意味着新来者甚至可能没有意识到旧漏洞。 如果他们知道这一点，他们可能会认为它已经得到处理。 无论如何，他们还有其他事情要担心——包括但不限于所有定期发现的新零日漏洞。

因此，旧的漏洞在网络中存在，只是等待被精明的攻击者重新发现。

积极工作以修补旧漏洞

鉴于所有这些，毫无疑问，企业需要对旧漏洞更加警惕。 诚然，一只眼睛看着过去，一只眼睛看着未来并不容易，尤其是当 IT 部门有太多其他事情需要担心时。 确实，IT 部门不能指望修补所有问题。 但是有一些相当简单的方法可以最大限度地降低旧漏洞再次困扰毫无准备的组织的风险。

最简单和最有效的方法是进行优化 补丁管理 流程到位。 这意味着全面了解您的攻击面（包括旧漏洞），并有意识地判断分配 IT 团队资源的最佳方式。

这些判断应该由标准漏洞存储库告知，例如 国家漏洞数据库 (NVB) 和 迈特. 但它们也应该超越它们。 事实上，IT 部门最常查阅的漏洞存储库包含明显的漏洞，这些不幸的遗漏在不良行为者继续利用旧漏洞方面发挥了一定的作用。 更不用说许多标准风险计算器往往会低估风险这一事实。

一个简单的事实是，如果组织根据公正或加权不当的信息开展工作，他们将无法正确评估他们所面临的威胁——他们需要知道他们所面临的确切风险，并且他们需要能够适当地确定这些风险的优先级风险。

归根结底，漏洞就是漏洞，无论它是五年前还是五个小时前发现的。 漏洞的存在时间与是否以及何时被利用无关紧要——它能够导致同样多的损害。 但对于 IT 团队而言，旧漏洞确实具有一个明显的优势：我们已经知道它们。 运用这些知识——主动识别和修补这些漏洞——对于确保当今组织的安全至关重要。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
• 与 Adryenn Ashley 一起铸造未来。 访问这里。
• 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
• Sumber: https://www.darkreading.com/vulnerabilities-threats/the-problem-of-old-vulnerabilities-and-what-to-do-about-it