Lebih dari 40.000 kerentanan baru (CVE) diterbitkan pada tahun 2024 saja. Lebih dari 60% dari mereka diberi label “tinggi” atau “kritis.” Kedengarannya menakutkan, tentu saja, tetapi berapa banyak dari mereka yang benar -benar membahayakan lingkungan Anda?
Tidak sebanyak yang Anda pikirkan.
Sistem penilaian seperti keparahan bendera CVSS berdasarkan faktor teknis. Tetapi mereka tidak tahu jaringan Anda, kontrol Anda, atau bagaimana Anda telah mengeras aset utama. Itu masalah. Karena tanpa konteks, tim menghabiskan terlalu banyak waktu mengejar bug yang tampak menakutkan yang mungkin sudah diblokir, dan kehilangan yang tenang yang tidak.
Posting ini memecah mengapa prioritas kerentanan tradisional sering membuat Anda tersesat, dan bagaimana pendekatan yang lebih baik, Validasi Eksposurmembantu tim fokus Apa yang benar -benar dapat dieksploitasi.
Apa masalah dengan kerentanan “kritis”?
Mari kita mulai dengan angka. Pengungkapan kerentanan melonjak 38% tahun lalu. Dan banyak alat, pemindai, platform patching, dan dashboard masih mengurutkannya berdasarkan skor CVSS atau EPSS mentah.
Tapi ini masalahnya: ini hanya skor global. Ini berarti bahwa, karena kerentanan mencetak 9,8 di atas kertas, itu tidak berarti memiliki dampak kritis pada milikmu lingkungan. Firewall Anda, EDR, IPS/ID, atau segmentasi mungkin sudah menghentikan Eksploitasi Dingin. Sementara itu, masalah keparahan “sedang” terkubur lebih rendah dalam daftar? Ini sebenarnya bisa menjadi bom waktu yang berdetak.
Ada juga kecepatan persenjataan. Pada awal 2024, lebih dari setengah kerentanan yang dieksploitasi diubah menjadi eksploitasi kerja tak lama setelah pengungkapan publik. Penyerang bergerak cepat, seringkali lebih cepat dari yang bisa bereaksi. Dan sementara kerentanan baru meraih berita utama, banyak pelanggaran masih turun ke kekurangan yang lebih tua yang sudah kita ketahui tetapi belum ditambal tepat waktu.
Apa yang kita miliki di sini bukanlah masalah penemuan, ini adalah masalah prioritas.
Mengapa skor tradisional gagal
Mari kita hancurkan bagaimana sistem yang biasa bekerja.
-
(The) CVSS memberi Anda peringkat keparahan berdasarkan persyaratan akses, hak istimewa, dan dampak potensial.
-
EPSS Memprediksi kemungkinan eksploitasi menggunakan sinyal ancaman eksternal.
-
Bagian CISA Bendera yang diketahui dieksploitasi kerentanan.
Bermanfaat? Tentu, dalam istilah gambaran besar, ya. Tetapi sama bermanfaatnya dengan mereka, secara teori, sistem ini tidak tahu spesifik Anda lingkungan.
Mereka tidak dapat mengetahui apakah IPS Anda memblokir eksploitasi, jika aset terisolasi, atau jika sistem itu bahkan penting. Jadi mereka memperlakukan semua jaringan yang sama, yang dapat dengan mudah menyebabkan membuang -buang waktu dan sumber daya pada perbaikan yang salah karena rasa urgensi palsu.
Apa itu validasi paparan?
Validasi paparan membalik proses. Alih -alih menebak seberapa buruk kerentanannya, itu tes Apakah itu benar -benar dapat dieksploitasi di lingkungan Anda yang sebenarnya.
Ini seperti menjalankan simulasi serangan yang aman dan terkontrol, menggunakan teknik permusuhan dunia nyata, untuk melihat apakah seluruh rantai pembunuhan kampanye eksploitasi berhasil pada Anda. Jika kontrol Anda menghentikannya, bagus. Jika tidak, sekarang Anda tahu apa yang harus diperbaiki.
Tujuannya sederhana: ganti asumsi dengan bukti. Dengan cara ini, Anda dapat memperbaiki kerentanan yang paling penting, terlebih dahulu.
Teknologi Di Baliknya: Bas + Pentests Otomatis
Validasi paparan bergantung pada dua jenis alat yang aman dan tidak merusak.
-
Simulasi Pelanggaran dan Serangan (BAS): BAS menjalankan skenario serangan terus -menerus menggunakan taktik yang diketahui dan perilaku malware yang didokumentasikan di alam liar. Pikirkan mereka sebagai cara untuk memeriksa apakah EDR, SIEM, dan Firewall Anda menangkap apa yang seharusnya, terhadap ancaman yang diketahui dan muncul.
-
Pengujian Penetrasi Otomatis: Teknik ini meniru tindakan penyerang yang sudah memiliki akses ke lingkungan Anda, menguji seberapa jauh mereka bisa melangkah, begitu mereka berada di dalam. Ini termasuk gerakan lateral, eskalasi hak istimewa, akses kredensial, dan upaya untuk mencapai target sensitif seperti admin domain. Ini juga membebaskan tim merah Anda untuk fokus pada jalur serangan yang lebih kompleks, kreatif, atau kritis.
Bekerja bersama, alat -alat ini membantu tim Anda memahami apa yang bisa diserang Sungguh Lakukan di jaringan Anda, bukan hanya apa yang mungkin terjadi secara teori.
Saat skor CVSS 9,4 tidak kritis
Mari kita lihat bagaimana ini bekerja dalam praktik. Katakanlah pemindai menandai kerentanan dengan skor CVSS 9,4. Kedengarannya serius. Tetapi validasi paparan menguji.
Langkah Pertama: Apakah ada eksploitasi publik?
Ya. Ada bukti konsep yang tersedia. Tapi itu bukan plug-and-play. Dibutuhkan keterampilan teknis dan beberapa kondisi khusus untuk berhasil. Itu membuat kerentanan ini kurang kritis daripada yang pertama kali muncul, dan risikonya disesuaikan untuk mencerminkan hal itu. Ini sendiri menjatuhkan skor menjadi 8,7.
Berikutnya: Bisakah pertahanan Anda menghentikannya?
Sekarang saatnya untuk memeriksa tumpukan keamanan Anda: kontrol cloud, perlindungan jaringan, alat titik akhir, dan aturan SIEM. Jika itu sudah mendeteksi atau memblokir serangan, risiko turun secara signifikan.
Dalam hal ini, solusi simulasi pelanggaran dan serangan Anda menunjukkan bahwa kontrol Anda yang ada melakukan pekerjaan mereka, membawa skor Vuln menjadi 6.0.
Cek terakhir: Apakah sistem itu penting?
Aset yang rentan tidak penting. Itu tidak menyimpan data sensitif dan tidak memengaruhi operasi inti. Dengan mengingat hal itu, skor turun lagi, kali ini menjadi 2.4.
Dalam skenario ini, sang pemindai semuanya berteriak memiliki kerentanan dengan skor 9,4 dan sangat penting bagi Anda untuk memberikan perhatian serius. Namun, di lingkungan dunia nyata Anda, Vuln ini akan diblokir dan terdeteksi, memungkinkan Anda menangani kerentanan yang jauh lebih kritis terhadap org Anda. Inilah yang dilakukan validasi paparan. Ini membedakan risiko sebenarnya dari kebisingan, memungkinkan Anda memperbaiki apa yang penting dan beralih dari apa yang tidak.
Cara yang lebih cerdas untuk memprioritaskan
Solusi Validasi Eksposur Keamanan Picus (EXV) Membantu tim bergerak melewati skor tingkat permukaan dan fokus pada apa yang nyata.
Kami menggabungkan manajemen permukaan serangan, simulasi melanggar dan menyerang, dan pentesting otomatis bersama untuk melihat apakah kerentanan dapat dieksploitasi di lingkungan Anda yang sebenarnya.
Kemudian menghitung skor risiko yang mencerminkan kondisi nyata, bukan hanya asumsi kasus terburuk. Skor itu memperhitungkan tiga faktor utama:
-
Apakah kerentanan benar -benar dapat dieksploitasi?
-
Apakah kontrol Anda sudah ada sudah memblokirnya?
-
Apakah sistem yang terkena dampak benar -benar penting bagi organisasi Anda dan operasi hariannya?
Berbekal konteks ini, tim Anda tidak lagi harus mengejar setiap peringatan tingkat tinggi. Anda mendapatkan daftar paparan yang jelas dan mudah dikelola terbukti penting bagi bisnis Anda dan lingkungannya dengan suara yang jauh lebih sedikit.
Hasil dari lapangan
Ketika tim berhenti mengandalkan skor CVSS mentah dan mulai memvalidasi paparan, mereka mulai melihat hasil segera.
Sebagai picus, kami telah melihat organisasi memotongnya Kerentanan kritis lebih dari setengahnya, dari 63 persen menjadi hanya 10 persen. Lingkungan yang sama. Alat yang sama. Satu -satunya perubahan adalah memverifikasi apa yang sebenarnya bisa dieksploitasi.
Pergeseran itu menghemat jam penambalan, membersihkan kebisingan, dan yang paling penting, memungkinkan tim keamanan lebih efektif fokus pada ancaman nyata dan secara efektif menghentikan mengejar hantu.
Alih-alih membanjiri alur kerja dengan ratusan temuan tingkat tinggi, tim mendapatkan daftar yang bersih dan terfokus dari apa yang benar-benar penting. Lebih sedikit waktu yang dihabiskan untuk berdebat tentang prioritas. Lebih banyak waktu memperbaiki masalah nyata.
Validasi mengubah manajemen kerentanan menjadi sesuatu yang dapat ditindaklanjuti. Anda bergerak lebih cepat, membuang lebih sedikit, dan melindungi apa yang benar -benar penting.
Pikiran terakhir
Anda tidak perlu memperbaiki semuanya. Anda hanya perlu memperbaiki apa yang nyata.
Validasi Eksposur membantu tim bergerak melewati skor keparahan mentah dan mulai membuat keputusan berdasarkan data.
Hasilnya? Prioritas yang lebih baik, pertahanan yang lebih kuat, dan organisasi yang lebih aman.
Pelajari lebih lanjut tentang Solusi Validasi Eksposur Keamanan Picus (EXV).
Disponsori dan ditulis oleh Keamanan Pico.
