66.1%通过2018年第三季度发布的漏洞有一个记录的解决方案

10月29日披露了16,172次漏洞,这是此时去年报告的高记录减少了7%。通过基于风险的安全的研究团队通过危险的安全的Security的研究团队编目的16,172漏洞被CVE和国家漏洞数据库(NVD)所涵盖的总数超过4,800。值得注意的是,NVD在漏洞评分和创建自动化组件中仍然显着落后于此。

2018 Q3 VulndB QuickView报告

漏洞的CVSSv2得分为9.0 +,通常被称为“至关重要”,占所有已发布的漏洞的15.4%通过Q3。重大严重程度漏洞的显着比例继续强调警惕组织必须维持和实施综合软件的重要性 漏洞评估 and management plan.

2018年Q3 vulndb QuickView报告在2018年第四季度之前发布了4,823次漏洞比CVE / NVD更多。“了解CVE / NVD的解决方案的局限性,以及组织不纳入最全面的脆弱性智能的风险可用于他们 风险管理解决方案。它们不仅涵盖了报告的漏洞的子集,但分析表明CVE / NVD的解决方案落后约7-12周。一个组织面临的严重风险,而不是及时警告新漏洞– if at all –显而易见的是,基于风险安全的安全性研究官Carsten Eiram。

“基于CVE / NVD的解决方案也不准确,并且缺少大量相关信息,例如vulndb中跟踪的详细元数据,包括漏洞的生命周期。有关任何给定漏洞的信息通常会发生变化,因此跟踪这些更改非常重要,例如:修补程序或升级版本的版本,基于新发现的影响,并利用可用性。基于CVE / NVD的解决方案是'火和忘记'。一旦发布,他们很少更新漏洞信息。“添加了EIRAM。

在2018年第三季度披露的所有漏洞中,67.3%是由于输入验证不足或不当。虽然很多漏洞都属于这伞,但它’清楚,供应商仍然努力仔细验证用户不受信任的输入。拥有成熟的软件开发生命周期(SDL)和某种形式的审计可以帮助耗尽许多这些问题,并显着减少攻击者的威胁。

2018 Q3 VulndB QuickView报告

2018年报告的大量漏洞具有可用的更新版本或修补程序。但是,24.9%的报告漏洞目前没有已知的解决方案,这是一个提醒的解决方案 修补 非常重要,它不能完全依赖作为补救措施。除补丁管理外,现代漏洞管理计划还应包括在组织面临的威胁中使用详细信息,以更好地实施更广泛的缓解策略,包括补偿安全控制。

“全面漏洞覆盖的重要性很清楚,但更为关键的是具有及时的智慧,不能低估。在大多数组织意识到这些问题之前,我们将继续看到在野外积极开发的漏洞。这是一个不幸的情况,让自己能够在损坏完成后了解脆弱性的位置。“ Brian Martin表示,基于风险安全的漏洞情报副总裁。

分享这个