聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
网络安全公司 Rapid7 现推出一款新型的网络服务 AttackerKB。它是一个 web 门户,旨在通过众筹漏洞评估的方式帮助企业理解并决定漏洞修复的优先级。
2020年1月,该服务以闭源测试版的方式发布,目前进入公开测试预览阶段。它的主要目的是汇集网络安全专业人士,免费对漏洞进行评审并和他人共享信息。之后,社区可基于漏洞对攻击者的用处对漏洞进行评审。漏洞获得的评审和选票越多,说明漏洞的危害越高,企业就可优先修复。
虽然这类漏洞评估服务也见于很多威胁情报和分析公司,但多数价格不菲。AttackerKB 为中小企业提供了另外一种选择,即在不增加任何额外费用的情况下由社区驱动的众筹方式获得服务。
帮助解决漏洞疲劳问题
另外,AttackerKB 门户网站还致力于解决网络安全行业中的另外一个问题:漏洞疲劳问题。十年来,每周、每月披露的安全缺陷数量一直持续增长。而每天,大型企业的安全团队都在接受新披露漏洞的狂轰滥炸。
安全团队获悉新漏洞后,必须验证自家网络上是否存在易受攻击的设备,之后评估该漏洞的危险程度以便规划维护窗口期,并且在测试并部署补丁的同时关闭运营。
这类评审工作耗时从数分钟到数小时不等,让安全专业人士的本已繁忙的工作雪上加霜。在很多情况下,漏洞的严重程度也会被新闻媒体或信息安全社区成员夸大,而安全团队最终不得不浪费时间分析那些虽然严重程度得分高但实际上对攻击者几无用处的漏洞。
AttackerKB 旨在通过汇集更大的信息安全社区圈子从攻击者的角度评审漏洞的方式解决这个问题,即专业的事交给专业的人来做。
Rapid7 公司的高级软件工程经理 Brent Cook 表示,“就像一个无人注意的 bug 可能不会得到重视,攻击者对引发大量关注和媒体报道的新漏洞可能兴趣不大(例如,渗透测试或红队遇到的环境不可能实现利用配置的情况)。AttackerKB 旨在提供关于真正具有影响力的漏洞的客观信息(如“无用户交互”或 “RCE”)以外的更多定性观点。”
一切皆可评审
Cook 还表示,AttackerKB 并不会区别对待网站上所列的漏洞类型。所有一切皆可被评审和列出。该网站的真实目的是评审所有的漏洞,而非仅评审攻击者感兴趣的漏洞。
他指出,“网站并不存在对漏洞接收的任何最低标准。AttackerKB 用户可以根据自己的兴趣、技能集和个人经验(如作为渗透测试人员或利用开发人员的经历)选择将哪些漏洞评估为是否为高影响力漏洞。”他还表示,AttackerKB 未来甚至会包含对尚未获得 CVE 编号的漏洞的评估。有些公司会根据 CVE ID 来修复漏洞,没有获得 CVE 的漏洞被认为重要性不高因而无需修复。但实际情况是很多严重漏洞因未能及时获得 CVE 编号的原因并非是因为其重要性和危害程度不高,而是官僚主义在作祟。AttackerKB 旨在对这类漏洞发出警告。
另外,Cook 表示 AttackerKB 将会列出那些无资格获得 CVE 编号以及从技术角度讲不算“安全缺陷”的问题。这将有助于企业从科学研究的角度认识这些问题,如协议中的特征实现漏洞或弱点。
重在 Rapid7 社区
总而言之,AttackerKB 网站无意取代当前评估安全缺陷的行业认可标准CVSS 评分系统。
Cook 表示,“AttackerKB 并非立志成为关于对漏洞危险程度排名的权威机构,而是成为安全社区的汇集地,在这里他们发表关于哪些漏洞值得注意以及为何值得注意的观点。”
正如 Cook 所言,该网站上最举足轻重的部分将由其社区完成,而这一点也不会成为问题。Rapid7 是当前最流行的开源渗透测试工具集 Metasploit 的聚集地,而该工具集本身也由用户驱动。Metasploit 社区不安提供补丁和新功能,而且还开发新的 Metasploit 攻击模块(exploits)。评估漏洞是开发 Metasploit 模块之前的一个自然步骤,这个流程也是 Rapid7 希望能够利用并促成 AttackerKB 门户网站落地的流程。
Cook 表示,在 AttackerKB闭源测试期间已经和一些安全专业人士对要害问题进行了碰撞,它似乎在填补很多组织机构一直在期待的差距。他指出,“在听到即使是经验丰富的安全专业人士都指出某些漏洞‘言过其实’而他们对此深感无力、疲惫不堪时,我们很惊讶。”
Cook 分享了该公司闭源测试期间一名用户的评论:“我厌倦了定期将理论上的启示视为现实的情况。如果某公司在其它领域控制力强大,那么很多这些‘末日’0day 实际上影响不大甚至根本算不上是威胁。但做出最终决定是一个艰巨的过程。”
用户可通过 GitHub 账户注册 AttackerKB服务:
https://attackerkb.com/
推荐阅读
原文链接
https://www.zdnet.com/article/rapid7-launches-attackerkb-a-service-for-crowdsourcing-vulnerability-assessments/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个 “在看” ,为我加油鸭~
转载自原文链接, 如需删除请联系管理员。
原文链接:AttackerKB:免费的众筹漏洞评估知识库,转载请注明来源!