Security Wine (бывший - DevSecOps Wine)

State of Exploitation - A Peek into the Last Decade of Vulnerability Exploitation

Я думаю, что ни для кого не секрет, что число уязвимостей с каждым годом только растет. VulnCheck выпустил неутешительную статистику по данному тренду с 2014 по 2024 год:

- Число CVE с известной эксплуатацией увеличивается на 19,7% в год.
- Число раскрытых CVE растет на 14,1% в год.
- Число CVE с публично доступными Proof-of-Concept (PoC) эксплойтами растет на 11,8% в год.

При этом:

31% уязвимостей имеют PoC, но только 1% уязвимостей эксплуатируется в "живой природе".

В данном канале мы также не освещали существующие проблемы NIST и их неспособность обрабатывать очередь из необработанных CVE для добавления в NVD. К февралю таких уязвимостей насчитывалось 11 000, на фоне сокращения бюджета и ухода текущего ключевого подрядчика CISA. К счастью, если вы еще не слышали, месяц назад NIST объявили, что к сентябрю этого года проблема будет решена, так как найден новый подрядчик. История с NVD с самого начала вызвала сильный резонанс. Были даже слышны упоминания о потенциальном "конце света" в мире управления уязвимостями.

На фоне этого хочется поделиться статьей "Dirty Little Secrets of Vulnerability Management". Автор освещает общепринятые мифы управления уязвимостями. В частности, он напоминает, что NVD не является единственным источником CVE. Существует 383 партнёра программы CVE, поддерживающих приём и регистрацию CVE (так называемые CVE Numbering Authority). Среди них есть не только вендоры, такие как Apple, но и независимые исследователи, open source и bug bounty площадки. И даже если вам это не подходит, существуют китайские аналоги CNNVD, число уязвимостей которых превышает NVD, и российская БДУ ФСТЭК🙈. Кстати, про проблему NVD и особенности БДУ подробно осветил Александр Леонов в своём докладе phd2.

#vm #cve

www.tg-me.com/ye/DevSecOps Wine/com.sec_devops/598

4.7K viewsRustam Guseynov, Jun 25, 2024 at 08:37

State of Exploitation - A Peek into the Last Decade of Vulnerability Exploitation

Я думаю, что ни для кого не секрет, что число уязвимостей с каждым годом только растет. VulnCheck выпустил неутешительную статистику по данному тренду с 2014 по 2024 год:

- Число CVE с известной эксплуатацией увеличивается на 19,7% в год.
- Число раскрытых CVE растет на 14,1% в год.
- Число CVE с публично доступными Proof-of-Concept (PoC) эксплойтами растет на 11,8% в год.

При этом:

31% уязвимостей имеют PoC, но только 1% уязвимостей эксплуатируется в "живой природе".

В данном канале мы также не освещали существующие проблемы NIST и их неспособность обрабатывать очередь из необработанных CVE для добавления в NVD. К февралю таких уязвимостей насчитывалось 11 000, на фоне сокращения бюджета и ухода текущего ключевого подрядчика CISA. К счастью, если вы еще не слышали, месяц назад NIST объявили, что к сентябрю этого года проблема будет решена, так как найден новый подрядчик. История с NVD с самого начала вызвала сильный резонанс. Были даже слышны упоминания о потенциальном "конце света" в мире управления уязвимостями.

На фоне этого хочется поделиться статьей "Dirty Little Secrets of Vulnerability Management". Автор освещает общепринятые мифы управления уязвимостями. В частности, он напоминает, что NVD не является единственным источником CVE. Существует 383 партнёра программы CVE, поддерживающих приём и регистрацию CVE (так называемые CVE Numbering Authority). Среди них есть не только вендоры, такие как Apple, но и независимые исследователи, open source и bug bounty площадки. И даже если вам это не подходит, существуют китайские аналоги CNNVD, число уязвимостей которых превышает NVD, и российская БДУ ФСТЭК🙈. Кстати, про проблему NVD и особенности БДУ подробно осветил Александр Леонов в своём докладе phd2.

#vm #cve

BY Security Wine (бывший - DevSecOps Wine)