风险管理公司 Tenable® 发布了一份报告《关键少数:如何揭露和消除重要威胁》,其中列出了组织内的主要暴露点,并展示了如何缓解可能危及业务运营的潜在网络威胁。
在过去的二十年中,Tenable 收集并分析了大约50万亿个与超过24万项漏洞相关的数据点。 根据这个庞大的数据库,公司开发了一种方法,指出在总数中,只有3%经常导致重大暴露风险。
由于网络安全团队不堪重负,大量零散的威胁和漏洞情报数据应运而生,Tenable 开展了这项研究,旨在帮助团队转向主动防御策略,专注于消除最危险的威胁。
该研究计算了Tenable为反映当前威胁形势而开发的漏洞优先级评级(VPR)模型。 VPR的值范围从0.1到10,数值越高表示越有可能进行探索。 根据下表。
| 类别 虚拟主机 | VPR 系列 |
| 批判的 | 9.0 至 10 |
| 高的 | 7.0 至 8.9 |
| 平均的 | 4,0 至 6,9 |
| 低的 | 0.1至3.9 |
VPR 高于 9.0 的漏洞如果被暴露,可能会被利用,成为高优先级的目标。 相比之下,VPR在7.0到8.9之间的类别具有中等风险,而中等和低类别(0.1到6.9)被利用的可能性较小。
| 数据 | 批判的 | 高的 | 平均的 | 低的 | % 高且严重 |
| 02/06/2024 | 853,00 | 6.627,00 | 94.170,00 | 138.272,00 | 3,10% |
例如,截至 2024 年 6 月 2 日,该研究分析了近 240,000 个漏洞,发现其中只有 3.1%(不到 7,500 个)被评为“严重”或“高”漏洞。
“没有上下文,每个漏洞、补丁和更新都变成了优先事项,几乎不可能让所有系统保持最新。”——Tenable Brasil的国家经理Arthur Capella说。 “必须实施暴露管理,以明确优先处理对业务真正构成风险的事项。所有利益相关者都应理解这些风险,并积极防止可能导致利用的风险,”他补充道。
完整报告《关键少数:如何揭露和消除重大威胁》现已发布这里.
