百度360必应搜狗淘宝本站头条
python类型转换python异常python操作mysql数据库python打印九九乘法表python获取列表的长度
当前位置:网站首页 > 技术资源 > 正文

高危漏洞不一定要最先修复(高危漏洞kb4592449)

off999 2025-04-01 21:13 20 浏览 0 评论

数世咨询分析师:RECCO

安全团队每天都会被越来越多的漏洞所淹没,但通过改变漏洞的优先级,可以极大地减少修补工作量。

大多数企业都会关注通用漏洞评分系统(CVSS)框架中对缺陷的评分,评分范围从0到10,并根据漏洞的特点,分为低、中、高和极危。一般而言,企业会从被视为“极危”的漏洞开始补救工作,然后再高中低逐级往下解决。

但现实情况是,对于许多企业来说,大多数漏洞都不会对它们构成威胁。安全公司Rezilion在5月发布的一项研究报告显示,组织中约85%的漏洞并没有加载到内存,也就意味着不能够真正被利用。(Rezilion成立于2018年,专注方向为自动化的攻击面管理)

在这项研究中,Rezilion的研究人员检查了Docker Hub上20种流行的容器镜像,这些镜像总共被下载和部署了数十亿次,包括MariaDB、WordPress、Memcached、MongoDB、Nginx和MySQL。此外,他们还研究了来自AWS、Azure和GCP的基本操作系统镜像,以确定有多少漏洞不适用,又有哪些漏洞构成了实际风险。

在Rezilion研究人员分析的21种容器镜像中,有4347多个已知漏洞,但经测试后发现,只有平均15%的CVE漏洞曾加载到内存中并构成威胁。研究人员还在分析的12个基本操作系统镜像中发现了6167个已知漏洞,其中约有20%加载到内存中。

因此报告得出结论,容器和主机中发现的所有漏洞,有85%从未加载到内存,因此不可利用。如果使用传统的漏洞管理方法,人们将花费85%以上的时间和精力来修补对环境没有实际风险的漏洞。

不仅如此,在实际的漏洞修补工作中,许多补丁是手动打上的,更为糟糕的是,有些漏洞的性质很难快速进入修补流程,时间长的可能需要几个月,往往还需要系统停机。

一方面,组织在处理漏洞和补丁管理方面的资源和能力十分有限。另一方面漏洞发现和披露的数量逐年增加。因为只要人们编写代码,漏洞就会出现,修补工作就跟不上。因此,一个看上去比较合理化的建议是,首先处理实际加载到内存中的漏洞,如果再有额外的时间或资源再处理其他的漏洞。因为只有这些能够进入到内存中的漏洞,才是真正重要的,真正构成威胁的漏洞。

但问题是,那些从未加载到内存的漏洞真得没有风险吗?谁能保证这些漏洞以后不会加载到内存?理论上而言,存在漏洞的软件,即使没有运行,仍然存在风险。因此,一个非常有效且简便易行的方法就是,删除那些执行指定任务时系统不需要的软件。

方法论有了,但最大的问题在于,现实中的大多数组织缺乏对其所有信息资产的了解,也不知道哪些软件程序的哪些部分会加载到内存中。所以,一切又回到了对企业资产环境的充分了解上。

“不清楚保护对象,何谈保护?”——数世咨询

不管怎样,组织面临的风险永远存在,修补能力也永远赶不上漏洞的增长。回归到最佳实践上,那就是合理利用现有的资源、工具和预算,将工作重点放在与自身更相关的漏洞上。

相关推荐

每天一个 Python 库:datetime 模块全攻略,时间操作太丝滑!

在日常开发中,时间处理是绕不开的一块,比如:生成时间戳比较两个时间差转换为可读格式接口传参/前端展示/日志记录今天我们就用一个案例+代码+思维导图,带你完全搞定datetime模块的用法!...

字节跳动!2023全套Python入门笔记合集

学完python出来,已经工作3年啦,最近有很多小伙伴问我,学习python有什么用其实能做的有很多可以提高工作效率增强逻辑思维还能做爬虫网站数据分析等等!!最近也是整理了很多适合零基...

为什么你觉得Matplotlib用起来困难?因为你还没看过这个思维导图

前言Matplotlib是一个流行的Python库,可以很容易地用于创建数据可视化。然而,设置数据、参数、图形和绘图在每次执行新项目时都可能变得非常混乱和繁琐。而且由于应用不同,我们不知道选择哪一个图...

Python新手必看!30分钟搞懂break/continue(附5个实战案例)

一、跳转语句的使命当程序需要提前结束循环或跳过特定迭代时,break和continue就是你的代码急刹按钮和跳步指令。就像在迷宫探险中:break=发现出口立即离开continue=跳过陷阱继续前进二...

刘心向学(24)Python中的数据类(python中5种简单的数据类型)

分享兴趣,传播快乐,增长见闻,留下美好!亲爱的您,这里是LearningYard新学苑。今天小编为大家带来文章“刘心向学(24)Python中的数据类”欢迎您的访问。Shareinterest,...

刘心向学(25)Python中的虚拟环境(python虚拟环境安装和配置)

分享兴趣,传播快乐,增长见闻,留下美好!亲爱的您,这里是LearningYard新学苑。今天小编为大家带来文章“刘心向学(25)Python中的虚拟环境”欢迎您的访问。Shareinte...

栋察宇宙(八):Python 中的 wordcloud 库学习介绍

分享乐趣,传播快乐,增长见识,留下美好。亲爱的您,这里是LearingYard学苑!今天小编为大家带来“Python中的wordcloud库学习介绍”欢迎您的访问!Sharethefun,...

AI在用|ChatGPT、Claude 3助攻,1分钟GET高颜值思维导图

机器之能报道编辑:Cardinal以大模型、AIGC为代表的人工智能浪潮已经在悄然改变着我们生活及工作方式,但绝大部分人依然不知道该如何使用。因此,我们推出了「AI在用」专栏,通过直观、有趣且简洁的人...

使用DeepSeek + Python开发AI思维导图应用,非常强!

最近基于Deepseek+PythonWeb技术开发了一个AI对话自动生成思维导图的应用,用来展示下如何基于低门槛的Python相关技术栈,高效结合deepseek实现从应用场景到实际应用的快速落地...

10幅思维导图告诉你 - Python 核心知识体系

首先,按顺序依次展示了以下内容的一系列思维导图:基础知识,数据类型(数字,字符串,列表,元组,字典,集合),条件&循环,文件对象,错误&异常,函数,模块,面向对象编程;接着,结合这些思维导图主要参考的...

Python基础核心思维导图,让你轻松入门

Python基础核心思维导图【高清图文末获取】学习路线图就给大家看到这里了,需要的小伙伴下方获取获取方式看下方图片...

Python基础核心思维导图,学会事半功倍

Python基础核心思维导图【高清图文末获取】学习路线图就给大家看到这里了,需要的小伙伴下方获取获取方式看下方图片...

硬核!288页Python核心知识笔记(附思维导图,建议收藏)

今天就给大家分享一份288页Python核心知识笔记,相较于部分朋友乱糟糟的笔记,这份笔记更够系统地总结相关知识,巩固Python知识体系。文末获取完整版PDF该笔记学习思维导图:目录内容展示【领取方...

Python学习知识思维导图(高效学习)

Python学习知识思维导图python基础知识python数据类型条件循环列表元组字典集合字符串序列函数面向对象编程模块错误异常文件对象#python##python自学##编程#...

别找了!288页Python核心知识笔记(附思维导图,建议收藏)

今天就给大家分享一份288页Python核心知识笔记,相较于部分朋友乱糟糟的笔记,这份笔记更够系统地总结相关知识,巩固Python知识体系。文末获取完整版PDF该笔记学习思维导图:目录内容展示【领取方...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.