最新的网络安全新闻与俄罗斯入侵乌克兰有关
网络犯罪和暗网研究 / 披露,还是不披露:PoC的困境

披露,还是不披露:PoC的困境

披露,还是不披露:PoC的困境
肖恩Nikkel
从肖恩Nikkel那里了解更多
2021年11月30日 | 6 分钟阅读

开始美高梅集团app下载的谈话 几周前关于情报漏洞的报告, 我简要地提到了一个虚构的长达一周的场景,其中涉及漏洞披露, PoC(概念), 大规模扫描的结果是受害者被黑客攻击. 我懂了, 一个星期的时间,从脆弱到工作利用,似乎有点夸张, 但美高梅集团app下载看到最近的一些案例,情况发展得几乎如此之快——从几周到一个月.

说实话,可能没有足够的时间让防守方做出反应和修补.

R&B歌手克雷格·大卫,用了一个多星期的时间.
R&B歌手克雷格·大卫,用了一个多星期的时间.

开发poc的研究人员是不完美代码的存在和对所有东西安全的更大需求的自然副产品. 大多数研究人员发布PoC时可能是出于好意, 但如果做得不正确,它会加剧脆弱性问题.

现在有多快?

它不只是一个 真的朗朗上口的歌曲, 这也是一场相当激烈的辩论,可以分为两部分. 

一边, 有一种想法认为,在漏洞公告之后公开概念验证,会迫使与安全游戏有利害关系的每个人都采取行动. 它使团队能够独立地验证网络系统是否可利用, 这能更好地理解规模和严重性吗, 并导致关于补救的明智决定. 最重要的是,它使供应商更快地开发补丁,并推动最终用户应用补丁.

另一方面, 有些人主张在漏洞公布时立即发布补丁, 并减缓pocc的发布,直到各组织得到修补. 在理论上, 这使得每个人都有时间进行集体行动,以便在漏洞被利用时得到保护.

现在,每个论点都有缺陷. 第一个论点假设每个组织都有技术专长或可用的资源来基本上“红队”他们的基础设施, 并且有各种各样的空闲时间,因为他们已经赶上了所有其他的补丁和维护. 正如克里斯所说 早期的博客, 现实情况是,在每个组织中都有相互竞争的优先级, 哪些通常归结为时间和资源投入修补.

第二种观点假设开发可行的利用存在很高的进入门槛. 民族国家和财力雄厚的犯罪集团已经买通了零日计划, 而且他们可能足够老练,能够根据补丁中修复的漏洞找出利用漏洞的方法, 或者在PoC演示中可能遗漏了一些步骤. 正如美高梅集团app下载在脆弱性研究中发现的那样, 犯罪论坛的用户非常乐意分享他们的知识或出租他们的专业知识, 因此,并不总是那些更大的玩家通过利用漏洞获得胜利.

那些关注大交易所ProxyLogon灾难的人,美高梅集团app下载都觉得早在2021年就有了这场辩论的前排座位. 而活动本身是在12月到1月之间被知道的, 在调查过程中, 一名研究人员发布了一份公开的PoC,让演员很容易在短时间内利用漏洞. 在PoC公布后的20天内, 试图利用ProxyLogon漏洞的敌人数量呈指数增长. 当时, 许多著名的研究人员和安全公司都犯了过于谨慎的错误, 这名研究人员很可能在这个问题上感受到了一些互联网上的愤怒.

漏洞恶化时

事实证明, 就在今年,就有大量的例子表明,漏洞都被引向了原力的阴暗面.

除了上述的Exchange漏洞之外,PoC发布后不到一个月就出现了大规模的攻击, 美高梅集团app下载在最近的几个案例研究中看到了类似的情况. Pulse Secure公司不仅在2021年4月使用了非周期安全咨询服务, 在这个公告发布后的大约3天内, 美高梅集团app下载在GitHub上看到了第一个可用的PoC. 遗憾的是,Pulse Secure花了近两周的时间才发布了补丁. 

VMware在2021年夏天宣布涉及vSphere漏洞的PoC后不到两周就出现了类似的问题. 随着vSphere在虚拟服务器管理中扮演如此重要的角色, 在试图解决维护问题时,补丁和缓解措施可能会让网络团队不堪重负. 

漏洞情报或许能挽救局面

就像美高梅集团app下载上个月说的那样, 谈到脆弱性情报, 了解漏洞背后的关键环境可能会使决定修补或减轻更容易做出决定. 有一些经常被引用的研究表明,一小部分漏洞甚至进入了概念验证阶段, 更少的利用. 这有助于理解他们是如何使用它的,或者 if 他们甚至用它来了解你可能面临的风险.

您可能需要担心一堆关键漏洞, 但知道他们是否进入了证据或开发社区可能是你需要加快补丁时间表. 可能几天或几周后,对手就会发现您脆弱的基础设施, 然后利用一个漏洞进入. 勒索软件运营商可能会利用它在经济上敲诈你, 民族国家可能会觊觎你提供的信息或其他秘密, 或者,这可能只是罪犯窃取数据转售到其他地方的一个机会. 

升级防御

在谈到安全问题时,孙子的名言经常被引用,这是有原因的. 随意的解释, 了解你的对手在做什么可以帮助你赢得战斗, 或者至少给你一个奋斗的机会(我补充). 在你的防御中有一层智慧可以武装你去战斗, 并且应该与基于风险的脆弱性管理模型共存, 正如我的团队所讨论的 在之前的博客中. 用另一句老生常谈的安全谚语来说:防御者需要永远幸运, 对手只需要一次这样的运气.

如果你想知道情报如何在战斗中帮助你,你可以把探照灯当作 7天测试驱动; or, 如果你有什么特别的需求, 也许美高梅集团app下载有一些想法可以讨论一下 在一个演示 的某个时候.

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10