组织IT环境中大量的软件和应用程序增加了攻击面，从而增加了漏洞的数量。根据Verizon 的《2024年数据泄露调查报告》，“14%的数据泄露涉及利用漏洞作为初始访问步骤，几乎是去年报告的三倍。”

随着漏洞利用的增加，如果没有明确的计划，确定优先级可能会变得困难且耗时。Log4j和MOVEit泄露等大规模事件的后果对网络安全世界产生了持久的影响。然而，网络安全防御者可以从这些经验中学习。

漏洞评估的关键注意事项

评估漏洞的第一步可以用阅读理解的方式：谁，做了什么，在什么时间，地点，为了什么：

谁：关注同行、行业专家和政府的建议。

做什么：识别出漏洞后，分析其可利用性。确定它是否可以通过网络利用或需要本地访问，或者利用代码是否公开。

时间： 时机至关重要。了解漏洞何时被披露，以及它是否已被利用。

位置：了解漏洞在环境中的位置，这可能会影响漏洞利用的影响。检查它是否出现在软件物料清单 (SBOM) 或供应商公告中，因为这可以指导补救工作。

如果有可用的补丁，确定它是否会导致停机，以及是否受服务水平协议的约束。如果不打补丁，或者没有可用的补丁，需要研究最大降低风险的缓解指南。

原因：了解该漏洞如何与攻击者行为的最新趋势相一致。同样，Common Vulnerability分数和Exploit Prediction分数可以告知优先级，但不应该作为评估漏洞的唯一因素。

从大规模事件中吸取教训

MOVEit

对抗漏洞的一个好方法是从过去中学习总结。例如，当 MOVEit Transfer 漏洞在 2023 年出现时，有早期迹象表明有可能被大规模利用。此次泄露背后的网络犯罪组织以文件传输软件中的漏洞为目标进行“喷雾式”攻击，这些攻击依靠未经加密的数据泄露来接触更多受害者。根据网络安全公司Emsisoft的数据，最终，超过2700家组织和9580万人受到了这次入侵的影响，这给网络安全界带来了三件事：

攻击者行为会影响漏洞利用的可能性。 由于网络犯罪分子采用的策略，文件传输设备中的一个关键漏洞在 2023 年显得格外紧迫。

具有低攻击复杂性的零日漏洞也需要考虑。攻击在MOVEit漏洞被公开披露的几天前就开始了，其中一个攻击向量允许直接从MOVEit应用程序中泄露数据。这里需要注意的是，并非所有的零日漏洞都是高优先级的;还有其他因素需要考虑，比如攻击的复杂性。

在供应链上具有级联效应的漏洞是至关重要的优先事项。一些组织因为其供应商的承包商的分包商使用MOVEit Transfer而受到影响。

Log4j

2021年Log4j事件凸显了识别环境中易受攻击的软件组件所面临的挑战。由于以下几个原因，此漏洞被列为高优先级：

可远程利用。

在修复程序可用之前，已公开披露。

漏洞代码在网上流传。

由于Log4j库在Java开发人员中很流行，因此它被嵌入到数千个软件包中，并集成到全球数百万个系统中。

许多组织需要花费很多力气去确定Log4j在其环境中的位置，因为之前并没有相关SBOM。准确的资产清单和广泛的SBOM采用(本质上是软件组件的成分列表)可以在很大程度上改进组织识别和响应未来漏洞的方式。

了解漏洞的分数

网络安全防御者拥有许多漏洞数据库和评分框架，例如网络安全和基础设施安全局(CISA)的已知被利用漏洞(KEV)目录和国家漏洞数据库(NVD)。随着组织的成熟和完善他们的漏洞管理程序，可以开始实施下一步骤，比如持续监控、自动化检测漏洞及监测、漏洞管理工具与配置管理数据库的集成，以改进检测和修复。

参读链接：

https://www.darkreading.com/vulnerabilities-threats/large-scale-incidents-art-vulnerability-prioritization