黑客：黑客窃听英特尔在新兴威胁,灰鸽子下载，远程控制软件

admin

黑客：黑客窃听英特尔在新兴威胁,灰鸽子下载，远程控制软件

在黑客论坛的在线聊天，可以给你一个跳跃的漏洞你的供应商没有固定
海洋中的一个漏洞的竞争，它几乎不可能知道它的安全问题首先解决。供应商的建议提供了一个行之有效的手段上的已知攻击向量。但有一个更有利的选择：窃听攻击自己。
鉴于其日益庞大的攻击面，大多数组织将其脆弱性管理周期的供应商公告。但最初披露的安全漏洞并不总是来自厂商，并等待官方公告可以把你天，甚至几个星期，背后的攻击者，谁讨论和分享教程在几个小时的漏洞成为已知。
“网上聊天[开始]通常在24到48小时的首次公开披露，说：”利维Gundert，在记录未来的威胁情报的副总裁，对外语论坛讨论公司的深入分析，引用。
供应商的建议、博客、邮件列表、国土安全证书警报--后卫并不是唯一的阅读这些公告。知道什么引起攻击者的兴趣，他们打算如何利用洞前，厂商可以做出回应，是让在下一波攻击跳的好方法。
去年的java对象序列化的缺陷提供了一个完美的例子。首次披露在一月2015会议上说，缺陷不吸引注意到11月6日，在毛地黄的安全研究人员发现问题影响多核心的企业应用，如WebSphere和JBoss。它把Oracle另一个12天和詹金斯19日发布正式公告解决在WebLogic服务器和詹金斯的漏洞。
攻击者社区，然而，几小时后就开始讨论毛地黄的安全博客，和概念的攻击代码的证明出现了六天后，发现记录本。描述如何执行攻击的详细说明如何执行该攻击是在11月13日前五天发布的任何东西。在十二月的第一周，攻击者已经交易了脆弱的组织和特定的链接，以触发这些目标的缺陷的名称。
“很明显，脆弱性识别和供应商发布的补丁或解决威胁演员之间的时间是宝贵的，但当详细的开发指南可在多种语言，那时候三角洲可能是灾难性的企业，”Gundert说。
的opcache二进制webshell漏洞在PHP 7的另一个例子是攻击者向前跳跃游戏。安全公司gosecure描述4月27日的新开拓，并记录本发现了一个教程讲解如何使用引用gosecure的博客4月30日概念证明。作为gosecure指出，该漏洞没有普遍影响PHP应用程序。但是，与所得到的教程，攻击者可以有一个更容易的时间找到具有潜在危险的配置，使他们容易受到文件上传漏洞的服务器。
“即使不起眼的博客得到回升，”Gundert说。
对于大多数人来说，gosecure的博客都被忽略了。有了如此多的竞争报告，如果博客文章没有得到太多的牵引力在后卫的社区，潜在的攻击向量，它讨论了有效地被忽视。然而，在鸿沟的另一边，攻击者正在讨论的缺陷和共享信息和工具，利用它。
等待供应商让你更容易
攻击者获得如此大的跳跃对供应商和安全的优点的一个原因是该漏洞公告过程本身。
供应商的声明通常是与当一个安全漏洞获取一个常见漏洞和披露（CVE）标识符。CVE系统是由MITRE公司的维护，一个非营利组织，作为一个公开的安全漏洞信息的中央存储库。当有人发现一个安全漏洞，无论是应用程序所有者，研究员，或一个第三方的实体作为一个经纪人，MITRE接收一个新的CVE的要求。
一旦切割分配一个标识符，类似的漏洞的社会安全号码，供应商的安全行业，企业有办法识别，讨论，和缺陷，它可以固定份额的细节。在案件的初始披露不是来自厂商，如与java对象序列化的缺陷，攻击者有过防守队员仍在等待CVE被分配一个开端。
这个时间差是至关重要的。当然，有这么多的漏洞进行研究，评估和减轻，但只有有限的保障资源打击他们，过滤基于是否缺陷CVE漏洞报告是一个“合理分配的态度，“让企业慎之又慎，说高面包车Someren，Linux基金会首席技术官。的含义
“很明显，脆弱性识别和供应商发布的补丁或解决威胁演员之间的时间是宝贵的，但当详细的开发指南可在多种语言，那时候三角洲可能是灾难性的企业，”Gundert说。
的opcache二进制webshell漏洞在PHP 7的另一个例子是攻击者向前跳跃游戏。安全公司gosecure描述4月27日的新开拓，并记录本发现了一个教程讲解如何使用引用gosecure的博客4月30日概念证明。作为gosecure指出，该漏洞没有普遍影响PHP应用程序。但是，与所得到的教程，攻击者可以有一个更容易的时间找到具有潜在危险的配置，使他们容易受到文件上传漏洞的服务器。
“即使不起眼的博客得到回升，”Gundert说。
对于大多数人来说，gosecure的博客都被忽略了。有了如此多的竞争报告，如果博客文章没有得到太多的牵引力在后卫的社区，潜在的攻击向量，它讨论了有效地被忽视。然而，在鸿沟的另一边，攻击者正在讨论的缺陷和共享信息和工具，利用它。
等待供应商让你更容易
攻击者获得如此大的跳跃对供应商和安全的优点的一个原因是该漏洞公告过程本身。
供应商的声明通常是与当一个安全漏洞获取一个常见漏洞和披露（CVE）标识符。CVE系统是由MITRE公司的维护，一个非营利组织，作为一个公开的安全漏洞信息的中央存储库。当有人发现一个安全漏洞，无论是应用程序所有者，研究员，或一个第三方的实体作为一个经纪人，MITRE接收一个新的CVE的要求。
一旦切割分配一个标识符，类似的漏洞的社会安全号码，供应商的安全行业，企业有办法识别，讨论，和缺陷，它可以固定份额的细节。在案件的初始披露不是来自厂商，如与java对象序列化的缺陷，攻击者有过防守队员仍在等待CVE被分配一个开端。
这个时间差是至关重要的。当然，有这么多的漏洞进行研究，评估和减轻，但只有有限的保障资源打击他们，过滤基于是否缺陷CVE漏洞报告是一个“合理分配的态度，“让企业慎之又慎，说高面包车Someren，Linux基金会首席技术官。其含义是，一旦缺陷有一个漏洞，它的存在和需要注意的问题。
但最近，CVE系统本身已经成为一个瓶颈。一些安全专家抱怨他们无法获得及时从MITRE漏洞CVE。延迟有一个影响-这是很难协调固定与软件制造商，合作伙伴和其他研究人员，如果没有一个系统，以确保每个人都指的是相同的问题。当前问题的一部分是规模，因为软件行业比十年前更大，而且在更大的数量上发现了漏洞。记录本的分析显示，在分配的CVE给攻击者的时间来发展和完善自己的工具和技术的延迟。
“有人认为，如果没有一个CVE那也不是一个现实的问题很多，这是一个巨大的问题，说：”杰克Kouns，基于安全风险的首席信息安全官。
另一个问题是，并不是所有的漏洞得到分配不足，如Web应用程序的更新服务器，不需要客户互动。不幸的是，移动应用程序的漏洞，需要安装一个更新的客户互动也不能机械地。有14185的漏洞报告，在2015，6000以上是国家漏洞数据库和CVE报道，根据基于风险的安全vulndb报告2015。
“CVE系统消费者和信息安全从业人员实际上不是衡量风险和安全影响的实际价值，但编目所有已知的风险，一个系统无论轻重，说：”Kymberlee价格，在Bugcrowd研究员高级营运总监。
时间开始听
由于CVE不覆盖每一个漏洞，你必须超越CVE拿什么来您的方式完成的画。这意味着你应该停止把你的漏洞管理活动的独家供应商的声明和开始探索其他来源的信息保持在最新的披露。如果他们在你的环境中寻找新的概念证明的概念，你的脆弱性管理团队将更为有效。
有很多可用的超出官方供应商notificatio公开漏洞信息