Equifax违规课程未学到
根据安全公司SOUNATYPY的说法,下载和修补软件周围的网络安全实践差别将数千个组织暴露于网络攻击。
自违反美国消费者和694,000名英国消费者的14800万令吉,高达10,800个组织 - 包括科技公司,汽车制造商,金融服务和保险公司 - 已经向其网络推出了相同的安全漏洞公司的代码跟踪数据显示。
由于有六种修补版本,所受影响的组织包括下载的Apache Struts Open Source软件包的Fortune Global 100公司的57%,尽管有六种修补版本,但Sonatype告诉财富。
Apache Struts是一个用于构建Java Web应用程序的开放式源代码型控制器(MVC)框架,并在金融服务部门中使用。
利用违规欺骗文件上载的vulnerability将其允许恶意演员通过Crafted Content-Type HTTP标头中的命令字符串执行任意命令。
根据Sonatype的数据,由于2017年9月7日的Equifax的违规披露,只有在违约之后,只有Absone的违约企业停止下载Apache Struts的受影响版本。
这意味着多达3,049个组织,尽管有Equifax漏洞,但尽管有修补版本可用,但尽管可以提供易受伤害的软件。“下载弱势版Struts是一个更广泛的卫生问题的症状,”索涅杰克逊,索涅杰克逊的首席执行官告诉财富。“问题是,这些组织不足以施加控制,或者没有基础设施,以了解正在使用的内容。”
与此同时,在泄露违规之后使用易受攻击的Apache Struts的组织被揭示和发布的修补程序,无法更新到最新版本的软件。
Equifax因其糟糕的修补实践而被火,允许该公司在Apache Struts的安全更新之后遭到违反两个月。
保持软件修补的软件对大多数组织的挑战仍然是一个挑战,因为由于存在复杂的相互依赖性,软件更新很少是很简单的。
由于RBS CISO Chris Ulliott指出伦敦的ATCRESTCON2018,因此对于单个服务器来说,似乎是简单的操作系统升级可能会变得相当复杂。
例如,他说,如果服务器正在运行与操作系统的新版本不兼容的中间件,则需要升级中间件。“但是,你发现有数千个使用该中间件的应用程序,需要更新,修改或重新编码,这将简单地升级到Mammoth任务中,”Ulliott说。
在更新到最新版本的Apache Struts时,对于许多组织来说,这是一个令人生畏的任务,这是一个令人责任的任务,这部分是对更新的速度慢,或者无法完成。但是,安全专家建议组织应重点关注如何尽快从其IT环境中尽快删除易受攻击的软件。
根据Ray demeo,Coo和联合创始人或安全的FirmVirsec,修补更困难,耗时和有问题,即使在最好的组织中也是如此。“大多数软件更新不仅仅是修复错误 - 它们还引入了始终存在意外后果的新功能或更改的功能,”他说。
Demeo表示,此外,许多较旧的应用程序仅限于旧的平台,这些平台是不可修补的或不再支持的。“我们需要超越这种思维方式,修补是一种安全性灵丹妙药,并寻找保护任何应用的方法, “ 他说。
Mounir Hahad,Juniper威胁实验室负责人Atjuniper Networks表示,差的网络实践简单地使网络违反威胁演员的全部很多。
“不需要高价值的零天漏洞来违反网络,只需要阅读NIST [美国国家标准和技术研究所]报告的漏洞数据库。
“2018年5月八天,已报告已有156个漏洞。他们中的大多数都将有补丁,但绝大多数弱势系统将保持不受网络攻击者的长度,以利用机会窗口。
“网络威胁演员了解这种行为,并开发了尽快将利用代码集成的流程,因为Pastebin.com上发布了概念的证明。有时他们不等待PoC [概念证明],并在泄露漏洞的几小时或几天内开发自己的工作攻击。
“这是我看来的罪犯,知道超出了合理的时间超出了安全更新,并因此受到突破,”他说。
2017年5月的Wannacry攻击采取了未修补的Windows操作系统,该系统未对EterNalBlue进行修补,这是服务器消息块(SMB)协议的漏洞利用。“Eternalblue不必是永恒的,我们有能力通过修补我们的系统来将它转化为缩放的系统,”哈哈德说。