百度360必应搜狗淘宝本站头条
python类型转换python计时python异常python进度条python吧
当前位置:网站首页 > 技术资源 > 正文

高危漏洞不一定要最先修复(高危漏洞kb4592449)

off999 2025-04-01 21:13 24 浏览 0 评论

数世咨询分析师:RECCO

安全团队每天都会被越来越多的漏洞所淹没,但通过改变漏洞的优先级,可以极大地减少修补工作量。

大多数企业都会关注通用漏洞评分系统(CVSS)框架中对缺陷的评分,评分范围从0到10,并根据漏洞的特点,分为低、中、高和极危。一般而言,企业会从被视为“极危”的漏洞开始补救工作,然后再高中低逐级往下解决。

但现实情况是,对于许多企业来说,大多数漏洞都不会对它们构成威胁。安全公司Rezilion在5月发布的一项研究报告显示,组织中约85%的漏洞并没有加载到内存,也就意味着不能够真正被利用。(Rezilion成立于2018年,专注方向为自动化的攻击面管理)

在这项研究中,Rezilion的研究人员检查了Docker Hub上20种流行的容器镜像,这些镜像总共被下载和部署了数十亿次,包括MariaDB、WordPress、Memcached、MongoDB、Nginx和MySQL。此外,他们还研究了来自AWS、Azure和GCP的基本操作系统镜像,以确定有多少漏洞不适用,又有哪些漏洞构成了实际风险。

在Rezilion研究人员分析的21种容器镜像中,有4347多个已知漏洞,但经测试后发现,只有平均15%的CVE漏洞曾加载到内存中并构成威胁。研究人员还在分析的12个基本操作系统镜像中发现了6167个已知漏洞,其中约有20%加载到内存中。

因此报告得出结论,容器和主机中发现的所有漏洞,有85%从未加载到内存,因此不可利用。如果使用传统的漏洞管理方法,人们将花费85%以上的时间和精力来修补对环境没有实际风险的漏洞。

不仅如此,在实际的漏洞修补工作中,许多补丁是手动打上的,更为糟糕的是,有些漏洞的性质很难快速进入修补流程,时间长的可能需要几个月,往往还需要系统停机。

一方面,组织在处理漏洞和补丁管理方面的资源和能力十分有限。另一方面漏洞发现和披露的数量逐年增加。因为只要人们编写代码,漏洞就会出现,修补工作就跟不上。因此,一个看上去比较合理化的建议是,首先处理实际加载到内存中的漏洞,如果再有额外的时间或资源再处理其他的漏洞。因为只有这些能够进入到内存中的漏洞,才是真正重要的,真正构成威胁的漏洞。

但问题是,那些从未加载到内存的漏洞真得没有风险吗?谁能保证这些漏洞以后不会加载到内存?理论上而言,存在漏洞的软件,即使没有运行,仍然存在风险。因此,一个非常有效且简便易行的方法就是,删除那些执行指定任务时系统不需要的软件。

方法论有了,但最大的问题在于,现实中的大多数组织缺乏对其所有信息资产的了解,也不知道哪些软件程序的哪些部分会加载到内存中。所以,一切又回到了对企业资产环境的充分了解上。

“不清楚保护对象,何谈保护?”——数世咨询

不管怎样,组织面临的风险永远存在,修补能力也永远赶不上漏洞的增长。回归到最佳实践上,那就是合理利用现有的资源、工具和预算,将工作重点放在与自身更相关的漏洞上。

相关推荐

编写更多 pythonic 代码(十三)——Python类型检查

一、概述在本文中,您将了解Python类型检查。传统上,类型由Python解释器以灵活但隐式的方式处理。最新版本的Python允许您指定显式类型提示,这些提示可由不同的工具使用,以帮助您更...

[827]ScalersTalk成长会Python小组第11周学习笔记

Scalers点评:在2015年,ScalersTalk成长会完成Python小组完成了《Python核心编程》第1轮的学习。到2016年,我们开始第二轮的学习,并且将重点放在章节的习题上。Pytho...

用 Python 画一颗会跳动的爱心:代码里的浪漫仪式感

在编程的世界里,代码不仅是逻辑的组合,也能成为表达情感的载体。今天我们就来聊聊如何用Python绘制一颗「会跳动的爱心」,让技术宅也能用代码传递浪漫。无论是写给爱人、朋友,还是单纯记录编程乐趣,这...

Python面向对象编程(OOP)实践教程

一、OOP理论基础1.面向对象编程概述面向对象编程(Object-OrientedProgramming,OOP)是一种编程范式,它使用"对象"来设计应用程序和软件。OOP的核心...

如何在 Python 中制作 GIF(python做gif)

在数据分析中使用GIF并发现其严肃的一面照片由GregRakozy在Unsplash上拍摄感谢社交媒体,您可能已经对GIF非常熟悉。在短短的几帧中,他们传达了非常具体的反应,只有图片才能传达...

Python用内置模块来构建REST服务、RPC服务

1写在前面和小伙伴们分享一些Python网络编程的一些笔记,博文为《PythonCookbook》读书后笔记整理博文涉及内容包括:TCP/UDP服务构建不使用框架创建一个REST风格的HTTP...

第七章:Python面向对象编程(python面向对象六大原则)

7.1类与对象基础7.1.1理论知识面向对象编程(OOP)是一种编程范式,它将数据(属性)和操作数据的函数(方法)封装在一起,形成一个称为类(Class)的结构。类是对象(Object)的蓝图,对...

30天学会Python编程:8. Python面向对象编程

8.1OOP基础概念8.1.1面向对象三大特性8.1.2类与对象关系核心概念:类(Class):对象的蓝图/模板对象(Object):类的具体实例属性(Attribute):对象的状态/数据方法...

RPython GC 对象分配速度大揭秘(废土种田,分配的对象超给力)

最近,对RPythonGC的对象分配速度产生了浓厚的兴趣。于是编写了一个小型的RPython基准测试程序,试图探究它对象分配的大致速度。初步测试与问题发现最初的设想是通过一个紧密循环来分配实...

30天学会Python编程:2. Python基础语法结构

2.1代码结构与缩进规则定义与原理Python使用缩进作为代码块的分界符,这是Python最显著的特征之一。不同于其他语言使用大括号{},Python强制使用缩进来表示代码层次结构。特性与规范缩进量...

Python 类和方法(python类的方法与普通的方法)

Python类和方法Python类创建、属性和方法具体是如何体现的,代码中如何设计,请继续看下去。蟒蛇类解释在Python中使用OOP?什么是Python类?Python类创建Pyt...

动态类型是如何一步步拖慢你的python程序的

杂谈人人都知道python慢,这都变成了人尽皆知的事情了,但你知道具体是什么拖慢了python的运行吗?动态类型肯定要算一个!动态类型,能够提高开发效率,能够让我们更加专注逻辑开发,使得编程更加灵活。...

用Python让图表动起来,居然这么简单

我好像看到这个emoji:动起来了!编译:佑铭参考:https://towardsdatascience.com/how-to-create-animated-graphs-in-python-bb6...

Python类型提示工程实践:提升代码质量的静态验证方案

根据GitHub年度开发者调查报告,采用类型提示的Python项目维护成本降低42%,代码审查效率提升35%。本文通过9个生产案例,解析类型系统在工程实践中的应用,覆盖API设计、数据校验、IDE辅助...

Python:深度剖析实例方法、类方法和静态方法的区别

在Python中,类方法(classmethod)、实例方法(instancemethod)和静态方法(staticmethod)是三种不同类型的函数,它们在使用方式和功能上有一些重要的区别。理...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.