项目展示
Our Projects
到目前为止,2022年报告的100 CVSS漏洞中有一半评分不正确 媒体
Our Projects
到目前为止,2022年报告的100 CVSS漏洞中有一半评分不正确 媒体
Flashpoint在周四发布的中期脆弱性情报报告显示,尽管2022年上半年收集了11860个脆弱性,但CVE/NVD服务却未能报告和详细描述其中273的内容。
Flashpoint的脆弱性情报副总裁Brian Martin指出,组织需要理解脆弱性披露的局势非常不稳定,所谓的“标准”天数可能引入传统上仅在补丁星期二等行业活动中才能见到的脆弱性数量。
此外,报告还发现,使用CVSSv2评分进行优先级排序的安全团队可能存在误导,因为Flashpoint发现截至目前2022年,有52的100脆弱性评分可能不准确。
“在缺乏关于脆弱性详细信息时,我们会‘按最坏情况评分’,这导致很多脆弱性评分偏高。”Martin如是表示。
Viakoo首席执行官Bud Broomhead称,CVSSv2下的脆弱性评分从未完全准确,因为它无法考虑随着时间推移而演变的因素。CVSSv2于2007年推出,后来的版本特别是2019年发布的CVSS v31考虑了脆弱性的更多实际影响。“在未来版本中,CVSS的优化,尤其是对IoT/OT脆弱性的改进,将帮助安全专业人士更准确地对风险进行优先排序,”Broomhead说。
Flashpoint的Martin表示,他们的研究人员还观察到,2022年上半年关于“在野外发现”的脆弱性报告存在85的差异,这与谷歌的Project Zero等资源提供的数据相比,后者显示对漏洞的利用往往发生在高级持续威胁APT攻击之外。
Deep Instinct的产品营销经理Jerrod Piker表示,这意味着CVSS模型所标识的需要立即处理的关键脆弱性与实际在现实中最有可能导致问题的脆弱性之间存在很大差距。Piker提到,一种被称为利用预测评分系统EPSS模型,旨在解决CVSS模型的准确性问题,这可能会使组织暴露于风险之中,也浪费补丁管理过程中的大量时间。
“利用这种新的评分系统,EPSS模型能够将补丁管理的效率从5提升到425,通过更有效地识别哪些报告的脆弱性最有可能在野外被黑客利用,”Piker表示。“这节省了大量时间,避免了不必要的补丁,确保组织能够快速、高效地解决最关键的脆弱性,以及黑客最有可能
轻蜂加速器app
