Мы проанализировали 2,5 миллиона уязвимостей, обнаруженных в активах наших клиентов. Вот что мы обнаружили.
Количество организаций в этом наборе данных меньше (на 3), чем в предыдущем наборе данных, использованном в прошлогоднем Security Navigator 2023, и некоторые организации были заменены новыми дополнениями. Со сменой организаций меняется набор активов, в результате чего сравнение предыдущих результатов сродни сравнению яблок с апельсинами (возможно, мы предвзяты), но все же стоит отметить схожие закономерности, где это возможно.
В этом году мы возвращаемся к теме угрожающих уязвимостей, уделяя особое внимание вездесущему хвосту нерешенных системных недостатков. Волна недавно обнаруженных серьезных проблем привлекает наше внимание только к существующим нерешенным проблемам, которые кажутся гидрой, которая продолжает отращивать новые змеиные головы, как только вы устраняете другие.
Оценка того, насколько система должным образом защищена, является сложной задачей, требующей навыков и опыта и может занять много времени. Но мы хотим узнать о любых слабостях заранее, а не иметь дело с последствиями незапланированного "бесплатного пентеста", проведенного случайной группой Cy-X.
Что внутри?
Получите свою копию прямо сейчас
Среднее количество "Критических" или "Высоких" результатов снизилось на 52,17% и 43,83% соответственно по сравнению с нашими ранее опубликованными результатами. Улучшение также можно наблюдать для результатов с оценками серьезности "Средняя" и "Низкая", которые снизились на 29,92% и 28,76%. Поскольку в этом отчете используется выборка клиентов, несколько отличающаяся от прошлогодней, сравнение в годовом исчислении имеет ограниченную ценность, но мы видим свидетельства того, что клиенты хорошо реагируют на выводы, о которых мы сообщаем, что приводит к общему улучшению.
Большинство результатов (78%) с оценкой "Критический" или "Высокий" относятся к 30 дням или младше (при просмотре 120-дневного периода). И наоборот, 18% всех обнаружений с оценкой "Критический" или "Высокий" имеют возраст 150 дней или более. С точки зрения расстановки приоритетов, "Критические" или "Важные" реальные находки, похоже, устраняются быстро, но со временем все еще накапливаются некоторые остаточные данные. Таким образом, мы видим, что количество нерешенных проблем продолжает расти. Действительно, ~ 35% всех уникальных CVE получены по результатам поиска 120 дней назад или старше.
На приведенной выше диаграмме показан длинный хвост неразрешенных реальных находок. Обратите внимание на первый примечательный пик "длинного хвоста" около 660 дней, а второй - 1380 дней (3 года и 10 месяцев).
На высокие средние показатели "Критических" и "Высоких" результатов в значительной степени влияют ресурсы, работающие под управлением операционных систем Microsoft Windows или Microsoft Windows Server. Ресурсы, работающие под управлением операционных систем, отличных от Microsoft, таких как ОС на базе Linux, присутствуют, но о них сообщается пропорционально гораздо меньше.
Однако следует отметить, что "Критические" или "Высокие" показатели, связанные с ресурсами под управлением Windows, не обязательно являются уязвимостями в операционной системе, но также могут быть связаны с приложениями, запущенными на ресурсе.
Возможно, понятно, что здесь преобладают неподдерживаемые версии Microsoft Windows и Windows Server, но удивительно обнаружить более свежие версии этих операционных систем с серьезностью, оцененной как "Критическая" или "Высокая".
Наши клиенты в строительной отрасли, похоже, работают исключительно хорошо по сравнению с клиентами в других отраслях, в среднем 12,12 обнаружения на актив. На противоположном конце спектра у нас есть горнодобывающая промышленность, карьерные разработки и нефтегазовая промышленность, где мы сообщаем в среднем о 76,25 уникальных находках на один актив. Клиенты из сферы государственного управления удивили нас, превзойдя показатели в сфере финансов и страхования: в среднем 35,3 обнаружения на актив по сравнению с 43,27, несмотря на большее количество активов. Конечно, эти значения получены из набора клиентов, представленных в нашей выборке, и могут не отражать универсальную реальность.
При сравнении средней серьезности для каждого уникального ресурса по отрасли мы видим неоднозначную картину. Мы можем игнорировать медицинскую и социальную помощь и информацию при относительно небольшом количестве уникальных ресурсов, что приводит к средним значениям, непропорциональным по сравнению с другими отраслями.
Наш общий средний показатель по отрасли с высоким рейтингом опасности составляет 21,93, а в горнодобывающей промышленности, разработке карьеров и добыче нефти и газа этот средний показатель более чем в два раза выше.
Аналогичным образом, финансовые услуги и страхование, связанные с проживанием и питанием, также превысили общий средний показатель на 10,2 и 3,4 находки на уникальный актив соответственно. Те же три отрасли превысили общий средний показатель по результатам, оцененным как критические, при этом серверы размещения и питания показали этот показатель почти в 3 раза.
Основная часть уникальных результатов, о которых сообщают наши группы сканирования - 79% - классифицируются как "Высокие" или "Средние", а 18% всех серьезных результатов датируются 150 днями или старше. Хотя с ними, как правило, справляются быстрее, чем с другими, некоторые проблемы все равно накапливаются с течением времени. Хотя большинство выявленных нами уязвимостей устраняются через 90 дней, 35% всех обнаруженных нами уязвимостей сохраняются в течение 120 дней или дольше. И слишком многие из них вообще не устраняются.
Результаты нашего сканирования указывают на постоянную проблему не устраненных уязвимостей. Между тем, наши команды по этичному взлому все чаще сталкиваются с новыми приложениями и системами, созданными на современных платформах, фреймворках и языках.
Роль Этичного хакера заключается в проведении тестов на проникновение – имитировать злоумышленника и оценивать систему, приложение, устройство или даже людей на наличие уязвимостей, которые могут быть использованы для получения доступа к ИТ-ресурсам или отказа в нем.
Тестирование на проникновение обычно считается компонентом управления уязвимостями, но также может рассматриваться как форма анализа угроз, которую компаниям следует использовать в рамках своей стратегии упреждающей защиты.
17,67% обнаружений, о которых сообщили наши этичные хакеры, были оценены как "Серьезные", но, что более важно, хакерам сегодня приходится работать усерднее, чтобы обнаружить их, чем в прошлом.
Это всего лишь выдержка из анализа. Более подробную информацию о нашем анализе уязвимостей и пентестировании (а также массу других интересных тем исследования, таких как классификация VERIS инцидентов, обрабатываемых в наших CyberSOCs, статистика кибератак и анализ хактивизма) можно найти в Навигаторе безопасности. Просто заполните форму и получите загрузку. Оно того стоит!
Примечание: Этот информационный материал был мастерски подготовлен и щедро предоставлен Чарлом ван дер Уолтом, главой Исследовательского центра безопасности Orange Cyberdefense.
Копание в данных
Анализируемый нами набор данных отражает подмножество клиентов, которые подписаны на наши службы сканирования уязвимостей. Проверяемые ресурсы включают те, которые доступны через Интернет, а также те, которые присутствуют во внутренних сетях. Данные включают данные о сетевом оборудовании, настольных компьютерах, веб-серверах, серверах баз данных и даже о принтере отдельных документов или сканирующем устройстве.Количество организаций в этом наборе данных меньше (на 3), чем в предыдущем наборе данных, использованном в прошлогоднем Security Navigator 2023, и некоторые организации были заменены новыми дополнениями. Со сменой организаций меняется набор активов, в результате чего сравнение предыдущих результатов сродни сравнению яблок с апельсинами (возможно, мы предвзяты), но все же стоит отметить схожие закономерности, где это возможно.
В этом году мы возвращаемся к теме угрожающих уязвимостей, уделяя особое внимание вездесущему хвосту нерешенных системных недостатков. Волна недавно обнаруженных серьезных проблем привлекает наше внимание только к существующим нерешенным проблемам, которые кажутся гидрой, которая продолжает отращивать новые змеиные головы, как только вы устраняете другие.
Оценка того, насколько система должным образом защищена, является сложной задачей, требующей навыков и опыта и может занять много времени. Но мы хотим узнать о любых слабостях заранее, а не иметь дело с последствиями незапланированного "бесплатного пентеста", проведенного случайной группой Cy-X.
Навигатор безопасности 2024 здесь - скачать сейчас
Недавно выпущенный Навигатор безопасности 2024 предлагает критическую информацию о текущих цифровых угрозах, документируя 129 395 инцидентов и 25 076 подтвержденных нарушений. Это больше, чем просто отчет, он служит руководством по навигации в более безопасном цифровом ландшафте.Что внутри?
Углубленный анализ: Изучите тенденции, схемы атак и прогнозы. Изучайте тематические исследования в CyberSOC и Pentesting.
Готовность к будущему: ознакомьтесь с нашими прогнозами безопасности и результатами исследований.
Данные в режиме реального времени: От наблюдения в темной сети до отраслевой статистики.
Получите свою копию прямо сейчасРезультаты сканирования уязвимостей по степени серьезности
Анализируя долю оценок серьезности в расчете на уникальную находку, мы видим, что основная масса уникальных находок, 79%, классифицируются как "Высокие" или "Средние". Однако также стоит отметить, что половина, 50,4% уникальных обнаружений, считаются "Критическими" или "Высокими".
Среднее количество "Критических" или "Высоких" результатов снизилось на 52,17% и 43,83% соответственно по сравнению с нашими ранее опубликованными результатами. Улучшение также можно наблюдать для результатов с оценками серьезности "Средняя" и "Низкая", которые снизились на 29,92% и 28,76%. Поскольку в этом отчете используется выборка клиентов, несколько отличающаяся от прошлогодней, сравнение в годовом исчислении имеет ограниченную ценность, но мы видим свидетельства того, что клиенты хорошо реагируют на выводы, о которых мы сообщаем, что приводит к общему улучшению.
Большинство результатов (78%) с оценкой "Критический" или "Высокий" относятся к 30 дням или младше (при просмотре 120-дневного периода). И наоборот, 18% всех обнаружений с оценкой "Критический" или "Высокий" имеют возраст 150 дней или более. С точки зрения расстановки приоритетов, "Критические" или "Важные" реальные находки, похоже, устраняются быстро, но со временем все еще накапливаются некоторые остаточные данные. Таким образом, мы видим, что количество нерешенных проблем продолжает расти. Действительно, ~ 35% всех уникальных CVE получены по результатам поиска 120 дней назад или старше.
На приведенной выше диаграмме показан длинный хвост неразрешенных реальных находок. Обратите внимание на первый примечательный пик "длинного хвоста" около 660 дней, а второй - 1380 дней (3 года и 10 месяцев).
Окно возможностей
На высокие средние показатели "Критических" и "Высоких" результатов в значительной степени влияют ресурсы, работающие под управлением операционных систем Microsoft Windows или Microsoft Windows Server. Ресурсы, работающие под управлением операционных систем, отличных от Microsoft, таких как ОС на базе Linux, присутствуют, но о них сообщается пропорционально гораздо меньше.
Однако следует отметить, что "Критические" или "Высокие" показатели, связанные с ресурсами под управлением Windows, не обязательно являются уязвимостями в операционной системе, но также могут быть связаны с приложениями, запущенными на ресурсе.
Возможно, понятно, что здесь преобладают неподдерживаемые версии Microsoft Windows и Windows Server, но удивительно обнаружить более свежие версии этих операционных систем с серьезностью, оцененной как "Критическая" или "Высокая".
Перспективы отрасли
Мы используем NAICS для нашей отраслевой классификации. В приведенных здесь результатах учитываются результаты, основанные только на сканировании хостов, а не таких служб, как веб-приложения. Среднее уникальное реальное количество обнаруженных уникальных ресурсов составляет 31,74 по всем организациям, обозначено пунктирной горизонтальной линией на приведенной ниже диаграмме.
Наши клиенты в строительной отрасли, похоже, работают исключительно хорошо по сравнению с клиентами в других отраслях, в среднем 12,12 обнаружения на актив. На противоположном конце спектра у нас есть горнодобывающая промышленность, карьерные разработки и нефтегазовая промышленность, где мы сообщаем в среднем о 76,25 уникальных находках на один актив. Клиенты из сферы государственного управления удивили нас, превзойдя показатели в сфере финансов и страхования: в среднем 35,3 обнаружения на актив по сравнению с 43,27, несмотря на большее количество активов. Конечно, эти значения получены из набора клиентов, представленных в нашей выборке, и могут не отражать универсальную реальность.
При сравнении средней серьезности для каждого уникального ресурса по отрасли мы видим неоднозначную картину. Мы можем игнорировать медицинскую и социальную помощь и информацию при относительно небольшом количестве уникальных ресурсов, что приводит к средним значениям, непропорциональным по сравнению с другими отраслями.
Наш общий средний показатель по отрасли с высоким рейтингом опасности составляет 21,93, а в горнодобывающей промышленности, разработке карьеров и добыче нефти и газа этот средний показатель более чем в два раза выше.
Аналогичным образом, финансовые услуги и страхование, связанные с проживанием и питанием, также превысили общий средний показатель на 10,2 и 3,4 находки на уникальный актив соответственно. Те же три отрасли превысили общий средний показатель по результатам, оцененным как критические, при этом серверы размещения и питания показали этот показатель почти в 3 раза.
Уязвимость устаревает
Возвращаясь в этом году к теме угрожающих уязвимостей, мы еще раз с подозрением смотрим на вездесущую и затяжную историю о неразрешенных системных недостатках, которые становятся все более распространенными. Мы оценили более 2,5 млн обнаруженных уязвимостей, о которых сообщили нашим клиентам, и более 1500 отчетов от наших профессиональных хакеров, соблюдающих этические нормы, чтобы понять текущее состояние уязвимостей в системе безопасности и рассмотреть их роль и эффективность как инструмент для определения приоритетов.Основная часть уникальных результатов, о которых сообщают наши группы сканирования - 79% - классифицируются как "Высокие" или "Средние", а 18% всех серьезных результатов датируются 150 днями или старше. Хотя с ними, как правило, справляются быстрее, чем с другими, некоторые проблемы все равно накапливаются с течением времени. Хотя большинство выявленных нами уязвимостей устраняются через 90 дней, 35% всех обнаруженных нами уязвимостей сохраняются в течение 120 дней или дольше. И слишком многие из них вообще не устраняются.
Результаты нашего сканирования указывают на постоянную проблему не устраненных уязвимостей. Между тем, наши команды по этичному взлому все чаще сталкиваются с новыми приложениями и системами, созданными на современных платформах, фреймворках и языках.
Роль Этичного хакера заключается в проведении тестов на проникновение – имитировать злоумышленника и оценивать систему, приложение, устройство или даже людей на наличие уязвимостей, которые могут быть использованы для получения доступа к ИТ-ресурсам или отказа в нем.
Тестирование на проникновение обычно считается компонентом управления уязвимостями, но также может рассматриваться как форма анализа угроз, которую компаниям следует использовать в рамках своей стратегии упреждающей защиты.
17,67% обнаружений, о которых сообщили наши этичные хакеры, были оценены как "Серьезные", но, что более важно, хакерам сегодня приходится работать усерднее, чтобы обнаружить их, чем в прошлом.
Это всего лишь выдержка из анализа. Более подробную информацию о нашем анализе уязвимостей и пентестировании (а также массу других интересных тем исследования, таких как классификация VERIS инцидентов, обрабатываемых в наших CyberSOCs, статистика кибератак и анализ хактивизма) можно найти в Навигаторе безопасности. Просто заполните форму и получите загрузку. Оно того стоит!
Примечание: Этот информационный материал был мастерски подготовлен и щедро предоставлен Чарлом ван дер Уолтом, главой Исследовательского центра безопасности Orange Cyberdefense.
