您现在的位置是:首页 >科技 > 2020-11-29 21:55:32 来源:

评估了软件漏洞的优先级

WhiteSource,开源的安全和许可证合规性管理,以及领导CYR3CON,该预测基于网络安全攻击AI-收集了来自黑客社区,发布的智能协同d今天他们通过黑客的观点联合研究了有关安全漏洞优先级的问题。

随着技术的不断进步,软件开发团队受到越来越多的安全警报的袭击。这使得几乎不可能补救每个漏洞,从而使对补救进行适当优先排序的能力变得更加关键。

这项研究研究了软件开发团队用来对软件漏洞进行优先级排序的最常用方法,并将这些实践与从黑客社区(包括暗网和深网)的讨论中收集的数据进行了比较。

报告中的主要发现包括:

软件开发团队倾向于根据可用数据(例如,漏洞严重性评分(CVSS),补救措施的容易程度和发布日期)确定优先级,但是黑客不会根据这些参数来确定漏洞的目标。

黑客被吸引到特定的漏洞类型(CWE),包括CWE-20(输入验证),CWE-125(越界读取),CWE-79(XSS)和CWE-200(信息泄漏/泄露)。

组织倾向于优先处理“新”漏洞,而黑客在利用漏洞后通常会讨论该漏洞超过6个月的时间,甚至更老的漏洞也会在新出现的漏洞或恶意软件中再次出现在黑客社区的讨论中。

WhiteSource首席执行官兼联合创始人Rami Sass说:“随着开发团队面临越来越多的已公开漏洞,解决所有问题变得不可能,并且团队必须首先专注于解决最紧迫的问题。” “我们的研究可以帮助组织采用可靠的优先级排序方法,并确保它们不仅从最易访问的数据中查找,而且可以最好地帮助他们修复可能造成最大影响的安全漏洞,从而节省宝贵的时间。”

Paulo Shakarian表示:“公司经常会使用过时的漏洞优先级方法在不知不觉中接受风险,而本报告揭示了这些方法的弊端。将威胁情报与机器学习相结合可以克服这些弊端,从而突出了流程中以前无法识别的风险。” ,CYR3CON首席执行官兼联合创始人。“我们的CyRating分数源自我们自己经过同行评审的科学研究,其目的是扩大漏洞分析过程的速度,并迅速阐明黑客对他们将利用的东西的看法。当今,许多顶级团队都使用CYR3CON来提供他们需要以可扩展的方式进行此分析的知识。”