أظهرت دراسة أجرتها Cyentia وFIRST أن نظام حساب نقاط التنبؤ بالاستغلال (EPSS) أظهر أداءً قويًا في التنبؤ بالثغرات الأمنية
قامت شركة Tenable برعاية دراسة بحثية من Cyentia وFIRST وخلصت إلى أنه على الرغم من أن استغلال الثغرات الأمنية يختلف بدرجة كبيرة، إلا أن نظام حساب نقاط التنبؤ بالاستغلال (EPSS) أصبح أقوى في قدرته على التنبؤ بالاستغلال.
ويظل عدد الثغرات الأمنية الشائعة المنشورة سنويًا في تزايد مستمر، مما يعني أنه من المهم بشكل متزايد التنبؤ بالثغرات الأمنية التي تتطلب اهتمام فرق إدارة الثغرات الأمنية.وتوصل بحث جديد أجراه معهد Cyentia ومنتدى فرق الاستجابة للحوادث والأمن (FIRST) إلى أن نظام حساب نقاط التنبؤ بالاستغلال (EPSS) يُعد مدخلاً مفيدًا لمساعدة الفرق على اتخاذ قرارات أكثر استنارة حول تحديد أولويات الثغرات الأمنية.
تم إطلاق البحث المكثف لاستكشاف توقيت نشاط الاستغلال وانتشاره وحجمه، وكذلك جمع وتحليل التعليقات حول أداءنظام حساب نقاط التنبؤ بالاستغلال (EPSS).وكانت نتيجة هذا الجهد هو التقرير الافتتاحي، A Visual Exploration of Exploitation in the Wild. يوفر التقرير نقاط بيانات وتحليلات من شأنها أن تفيد المجتمع الكبير والمتنامي لمستخدمي المؤسسات ومنتجات الأمان التي تستفيد من نظام حساب نقاط التنبؤ بالاستغلال (EPSS). ,في هذه السلسلة المكونة من جزأين من المدونة، سنستكشف بعض النتائج والرؤى الرئيسية التي توصل إليها البحث. الجزء الأول سيجيب على الأسئلة التالية:
- ما نسبة الثغرات الأمنية المستغلة؟
- ما النمط النموذجي لنشاط الاستغلال؟
- ما مدى انتشار الاستغلال بين المنظمات؟
- كيف يعمل نظام حساب نقاط التنبؤ بالاستغلال (EPSS) من حيث قدرته على التنبؤ بعمليات الاستغلال؟
ما نسبة الثغرات الأمنية المستغلة؟
صدق أو لا تصدق، يوجد ما يقرب من ربع مليون ثغرة أمنية شائعة منشورة. وقد ارتفع هذا العدد بمعدل 16% خلال السنوات السبع الماضية. لا أحد لديه الوقت أو الموارد اللازمة لمعالجة كل هذه الثغرات، مما يجعل تحديد الثغرات الأكثر أهمية وإعطاء الأولوية لها أمرا في غاية الأهمية. إحدى الخطوات المهمة في جهود تحديد الأولويات هي تتبع وتوقع عدد الثغرات الأمنية التي يتم استغلالها.
في الشكل 1، يمكنك ملاحظة تراكم 13,807 من الثغرات الأمنية الشائعة والمستغلة مع نشاط الاستغلال بمرور الوقت على الرسم البياني الأيسر، مما يخبرك أن عددالثغرات الأمنية المعروفة المستغلة يقترب بشكل مطرد من 15,000. في الرسم البياني الأيمن، يمكنك رؤية العدد كنسبة مئوية من الثغرات الأمنية الشائعة المنشورة بمرور الوقت، مما يخبرك أن حوالي 6% من جميع الثغرات الأمنية الشائعة المنشورة تم استغلالها، وأن هذا المعدل ثابت.
الشكل 1:الثغرات الأمنية المرتبطة بنشاط الاستغلال
ما النمط النموذجي لنشاط الاستغلال؟
الآن، دعونا نُلقي نظرة على النمط النموذجي لنشاط الاستغلال... اتضح أنه لا يوجد نمط واحد!
يوضح الشكل 2 نشاط الاستغلال لخمسة من الثغرات الأمنية المشتركة المختلفة خلال عام 2023. كل منها لديه نشاط استغلالي فريد من نوعه:
- لقد تعرضت أكثر الثغرات الأمنية الشائعة للاستغلال وقد كان قصير الأمد ومتفرقًا للغاية
- شهدت الثغرة الأمنية الشائعة الثانية نشاطًا منتظمًا إلى حد ما في أيام الأسبوع
- شهدت الثغرة الأمنية الشائعة الثالثة محاولات استغلال يومية إلى أسبوعية، مع ارتفاع حاد في منتصف ديسمبر
- أظهر الثغرة الأمنية الشائعة الرابعة استغلالًا يوميًا مستمرًا كان مرتفعًا بشكل خاص في الربع الأول والربع الثاني
- وقد شهدت الثغرة الأمنية الشائعة الأخيرة معدلًا مرتفعًا للغاية ومتسقًا من نشاط الاستغلال
والآن، ما معنى كل ذلك؟ حسنًا، يأتي الاستغلال بمستويات مختلفة من درجة الشدة والمدة. سيكون من الحكمة عدم التعامل مع "الاستغلال" باعتباره متغيرًا ثنائيًا، بل البحث بشكل أعمق في متغيرات إضافية مثل كثافة ومدة جهود تحديد الأولويات.
الشكل 2:التفاوت في النشاط الملحوظ للاستغلال
ما مدى انتشار الاستغلال بين المنظمات؟
إذا تحدثنا عن عدم التعامل مع "الاستغلال" باعتباره متغيرًا ثنائيًا، فلنلق نظرة على انتشار الاستغلال الذي لوحظ عبر مجموعة كبيرة من السكان يتجاوز عددهم 100 ألف مؤسسة موزعة حول العالم. والملاحظة المدهشة هي أن عدداً قليلاً من المنظمات يشهد محاولات استغلال تستهدف ثغرة أمنية معينة. وتُعتبر الثغرات الأمنية التي تصيب أكثر من مؤسسة واحدة من بين كل 10 مؤسسات نادرة (أقل من 5%!). عندما يتم الإبلاغ عن ثغرات أمنية على أنها مستغلة، فمن المفترض عمومًا أنها مستغلة في كل مكان. ولكن ليس هذا هو الحال، ويشير إلى أنه لا ينبغي لنا أن نتعامل مع جميع تقارير الاستغلال على قدم المساواة.
الشكل 3:انتشار نشاط الاستغلال
كيف يعمل نظام حساب نقاط التنبؤ بالاستغلال (EPSS) من حيث قدرته على التنبؤ بعمليات الاستغلال؟
وفقًا لـ FIRST، فإن نظام حساب نقاط التنبؤ بالاستغلال (EPSS) عبارة عن "جهد قائم على البيانات لتقدير احتمالية استغلال ثغرة أمنية في البرامج بشكل غير قانوني". يأخذ نظام نظام حساب نقاط التنبؤ بالاستغلال (EPSS) تقديرًا يوميًا على مدار الثلاثين يومًا التالية لجميع الثغرات الأمنية الشائعة المعروفة ويوفر درجة احتمال تتراوح من 0 إلى 1 (أو من 0 إلى 100%)، مما يشير إلى احتمال الاستغلال.
كما هو موضح في الشكل 4، أظهرت كل نسخة من نظام حساب نقاط التنبؤ بالاستغلال (EPSS) أداءً أقوى في قدرتها على التنبؤ بالاستغلال. توجد ثلاثة مقاييس لقياس الأداء:
- التغطية: يقيس اكتمال تحديد أولوية نشاط الاستغلال (النسبة المئوية لجميع الثغرات الأمنية المستغلة المعروفة والتي تم تحديد أولويتها بشكل صحيح)
- الكفاءة: قياس دقة الأولويات (النسبة المئوية للثغرات الأمنية التي تم إعطاؤها الأولوية للإصلاح والتي تم استغلالها بالفعل)
- الجهد: يقيس إجمالي عبء العمل الناتج عن استراتيجية تحديد الأولويات (النسبة المئوية للثغرات الأمنية ذات الأولوية من بين جميع الثغرات)
بناءً على الشكل 4، يمكنك أن تلاحظ أن معالجة الثغرات الأمنية باستخدام درجة نظام حساب نقاط التنبؤ بالاستغلال (EPSS) تبلغ 0.6+ تحقق تغطية بنسبة ~60% بكفاءة 80%، في حين أن معالجة الثغرات الأمنية بدرجة نظام حساب نقاط التنبؤ بالاستغلال (EPSS) تبلغ 0.1+ تتغير إلى تغطية بنسبة 80% بكفاءة 50%. تختلف كل مؤسسة في قدرتها على تحمل المخاطر، مما يؤثر على استراتيجيات تحديد الأولويات. إن فهم مقاييس التغطية والكفاءة والجهد يمكن أن يساعد المؤسسات على اتخاذ قرارات أكثر استنارة ومدروسة بشكل أكبر بشأن الاستراتيجيات المحددة التي تستخدمها لبرامج إدارة الثغرات الأمنية التي تستخدمها.
الشكل 4:أداء نظام تسجيل درجة التنبؤ بالاستغلال (EPSS)
هذا البحث رائع حقًا. ماذا الآن؟
لمزيد من التفاصيل، يرجى تنزيل التقرير الكامل. استفد من دعم نظام حساب نقاط التنبؤ بالاستغلال (EPSS) في Nessus 10.8.0 من خلال الإصدار التجريبي المجاني أو يمكنك شراء ترخيص.ترقبوا الجزء الثاني من هذه السلسلة!
مقالات ذات صلة
These Services Shall Not Pass: Abusing Service Tags to Bypass Azure Firewall Rules (Customer Action Required)
June 3, 2024Azure customers whose firewall rules rely on Azure Service Tags, pay attention: You could be at risk due to a vulnerability detected by Tenable Research. Here’s what you need to know to determine if you’re affected, and if so, what you should do right away to protect your Azure environment from attackers.
How A CNAPP Can Take You From Cloud Security Novice To Native In 10 Steps
May 23, 2024Context is critical in cloud security. In a recent RSA presentation, Tenable's Shai Morag offered ten tips for end-to-end cloud infrastructure security.
Kinsing Malware Hides Itself as a Manual Page and Targets Cloud Servers
May 16, 2024Tenable Cloud Security Research Team has recently discovered that Kinsing malware, known for targeting Linux-based cloud infrastructures, exploits Apache Tomcat servers with new advanced stealth techniques. Explore our analysis and the indicators of compromise in this report.
EPSS Shows Strong Performance in Predicting Exploits, Says Study from Cyentia and FIRST
July 30, 2024Tenable sponsored research from Cyentia and FIRST, which finds that while vulnerability exploitation is highly variable, EPSS is getting stronger in its ability to predict exploitation.
Cybersecurity Snapshot: North Korea’s Cyber Spies Hunt for Nuclear Secrets, as Online Criminals Ramp Up AI Use in the EU
July 26, 2024Check out a CISA-FBI advisory about North Korean cyber espionage on critical infrastructure orgs. Plus, what Europol found about the use of AI for cybercrime. Meanwhile, the risk concerns that healthcare leaders have about generative AI. And a poll on water plant cybersecurity. And much more!
ConfusedFunction: A Privilege Escalation Vulnerability Impacting GCP Cloud Functions
July 24, 2024Organizations that have used Google Cloud Platform’s Cloud Functions – a serverless execution environment – could be impacted by a privilege escalation vulnerability discovered by Tenable and dubbed as “ConfusedFunction.” Read on to learn all about the vulnerability and what your organization needs to do to protect itself.
- Attack Surface Management
- Exposure Management
- Exposure Response
- Reports
- Research Reports
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning