ການຝຶກອົບຮົມ CVE Continuous Closes The Critical Gap Between Vulnerability Alerts and Effective Defense

Cary, North Carolina, ມິຖຸນາ 14, 2025 / CyberNewsWire /--ລະຫັດ QRການຄົ້ນຄວ້າແລະການຢັ້ງຢືນ Cybersecurity, ເປັນຜູ້ຊ່ຽວຊານໃນທົ່ວໂລກກ່ຽວກັບການຝຶກອົບຮົມແລະການຢັ້ງຢືນ cybersecurity, ໄດ້ສະແດງໃຫ້ເຫັນວ່າການຝຶກອົບຮົມໃນທົ່ວໂລກທີ່ມີ CVEs (Common Vulnerabilities and Exposures) ທີ່ດີທີ່ສຸດແມ່ນສິ່ງທີ່ສໍາຄັນສໍາລັບການປ່ຽນແປງທີມງານຄວາມປອດໄພຈາກ reagent ກັບ proactive defenders.

ມີຫຼາຍກ່ວາ 26,000 CVEs ໃຫມ່ທີ່ຖືກກວດສອບໃນປີທີ່ຜ່ານມາ, ບໍລິສັດຄວາມປອດໄພກໍາລັງກວດສອບຄວາມປອດໄພໃນຂະນະທີ່ພວກເຂົາເຈົ້າໄດ້ຕັດສິນໃຈກັບການ exploit windows ທີ່ໄດ້ຮັບການ compressed ໃນເວລາຫຼາຍດັ່ງນັ້ນ.

"ການອ່ານທົດສອບ CVE ແມ່ນບໍ່ແມ່ນວ່າຈະຮູ້ກ່ຽວກັບວິທີການປິ່ນປົວການທົດສອບ," ຂຽນ Dara Warn, CEO ຂອງ INE Security. "Platform Skill Dive ຂອງພວກເຮົາໃຫ້ຜູ້ຝຶກອົບຮົມປະສົບການມືອາຊີບກ່ຽວກັບຄວາມເປັນສ່ວນຕົວທີ່ແທ້ຈິງໃນສະພາບແວດລ້ອມທີ່ຖືກກວດສອບ, ການຕັດເວລາການຕອບສະຫນັບສະຫນູນໃນເວລາທີ່ບັນຫາທີ່ແຕກຕ່າງກັນໄດ້ບັນຫາການຜະລິດ. ການປິ່ນປົວທີ່ແທ້ຈິງນີ້ສະຫນອງຄຸນນະພາບຫຼາຍກ່ວາການຢັ້ງຢືນຄວາມປອດໄພປົກກະຕິພຽງແຕ່."

"ການອ່ານທົດສອບ CVE ແມ່ນບໍ່ແມ່ນວ່າຈະຮູ້ວິທີການປິ່ນປົວການທົດສອບ," ຂຽນ Dara Warn, CEO ຂອງ INE Security.ວິທະຍາໄລ Diveເວັບໄຊທ໌ນີ້ໃຫ້ຜູ້ຊ່ຽວຊານປະສົບການມືອາຊີບທີ່ມີຄວາມປອດໄພທີ່ແທ້ຈິງໃນສະພາບແວດລ້ອມທີ່ຈໍາກັດ, ການຕັດສິນໃຈທີ່ໃຊ້ເວລາການຕັດສິນໃຈໃນເວລາທີ່ບັນຫາທີ່ແຕກຕ່າງກັນໄດ້ບັນຫາການຜະລິດ. ວິທີການມືອາຊີບນີ້ສະຫນອງຄຸນນະພາບຫຼາຍກວ່າການຢັ້ງຢືນຄວາມປອດໄພປົກກະຕິພຽງແຕ່. "

Skill Dive ແມ່ນສະພາບແວດລ້ອມດ້ານວິຊາການທີ່ບໍ່ມີປະສິດທິພາບຂອງ INE Security ມີຫ້ອງທົດລອງພິເສດທີ່ບໍ່ມີຢູ່ໃນເສັ້ນທາງການສຶກສາແລະການຝຶກອົບຮົມ.ວິທະຍາໄລ Diveລະຫັດ QRພວກເຮົາມີຄອມພິວເຕີການປັບປຸງຢ່າງກວ້າງຂວາງຂອງ labs ທີ່ຖືກອອກແບບພິເສດເພື່ອສະຫນອງການຝຶກອົບຮົມທີ່ມີ CVEs ທີ່ແທ້ຈິງ, ເພື່ອໃຫ້ຜູ້ຊ່ຽວຊານໃນຄວາມປອດໄພ, ລວມທັງຜູ້ຊ່ຽວຊານໃນການປິ່ນປົວການຢັ້ງຢືນ pentester, ເພື່ອປະສົບການທັງສອງການ exploitation ແລະ mitigation ຂອງຄວາມປອດໄພຂອງຄວາມປອດໄພໃນທົ່ວໂລກທີ່ແທ້ຈິງ.

CVEs: ຈາກ Bulletin ກັບການປົກປ້ອງ

CVEs ແມ່ນການເຂົ້າລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດລະຫັດ

ການຄາດຄະເນດິນດີຕ້ອນຮັບ

• ການຄາດຄະເນການຄາດຄະເນການຄາດຄະເນການຄາດຄະເນການຄາດຄະເນການຄາດຄະເນການຄາດຄະເນ
• ການທົດສອບຄວາມປອດໄພໂດຍບໍ່ເສຍຄ່າການຜະລິດ
• ການອັບໂຫລດການປ້ອງກັນກັບການຄຸ້ມຄອງລະບົບທີ່ແຕກຕ່າງກັນ
• ການກໍ່ສ້າງຄວາມປອດໄພຂອງມະນຸດທີ່ເຮັດວຽກພາຍໃຕ້ຄວາມກົດດັນ
• ການຄາດຄະເນດິນຟ້າອາກາດໃນປັດຈຸບັນ

ການຝຶກອົບຮົມຄວາມປອດໄພຂອງມື້ນີ້. ການປ້ອງກັນຄວາມປອດໄພຂອງມື້ນີ້.

INE Security’s Skill Dive Vulnerabilities Lab Collectionການຈັດສົ່ງ:

• ການຝຶກອົບຮົມຄວາມປອດໄພພິເສດບໍ່ມີຢູ່ໃນການຝຶກອົບຮົມຄວາມປອດໄພພິເສດ
• ການປັບປຸງ CVE ທົ່ວໂມງທີ່ລັກສະນະຂອງຄວາມປອດໄພທີ່ມີຜົນປະໂຫຍດສູງ
• ສະພາບອາກາດການຝຶກອົບຮົມ isolated for both offensive and defensive techniques
• ການເກັບຮັກສາຄວາມເຂັ້ມແຂງຢ່າງກວ້າງຂວາງຈາກ Zero-day critical ກັບ misconfigurations ທີ່ປົກກະຕິ
• ການບໍລິຫານແລະການປົກປັກຮັກສາປະສົບການມືອາຊີບທີ່ຜ່ານມາໂດຍຜ່ານການຜະລິດ incidents

"When a critical CVE drops, you don't have time to theorize," said Tracy Wallace, Director of Content at INE Security. "ທີມງານທີ່ມີການຝຶກອົບຮົມປະຕິບັດຢ່າງງ່າຍດາຍເພີ່ມເຕີມ, ໃນຂະນະທີ່ພວກເຂົາເຈົ້າໄດ້ຊອກຫາຮູບແບບການທົດລອງທີ່ແຕກຕ່າງກັນກ່ອນຫນ້ານີ້. Log4Shell (CVE-2021-44228) ເປັນຕົວຢ່າງທີ່ດີທີ່ສຸດ - ການຝຶກອົບຮົມທີ່ມີປະສົບການກັບການທົດລອງ JNDI ໄດ້ສາມາດນໍາໃຊ້ການປິ່ນປົວປະສິດທິພາບໃນໄລຍະເວລາ, ໃນຂະນະທີ່ອື່ນໆໄດ້ໃຊ້ເວລາມື້ຫຼືພຽງແຕ່ຊົ່ວໂມງເພື່ອປິ່ນປົວຢ່າງເຕັມທີ່."

"When a critical CVE drops, you don't have time to theorize," said Tracy Wallace, Director of Content at INE Security. "ທີມງານທີ່ມີການຝຶກອົບຮົມປະຕິບັດຢ່າງງ່າຍດາຍເພີ່ມເຕີມ, ໃນຂະນະທີ່ພວກເຂົາເຈົ້າໄດ້ຊອກຫາຮູບແບບການທົດລອງທີ່ແຕກຕ່າງກັນກ່ອນຫນ້ານີ້. Log4Shell (CVE-2021-44228) ເປັນຕົວຢ່າງທີ່ດີທີ່ສຸດ - ການຝຶກອົບຮົມທີ່ມີປະສົບການກັບການທົດລອງ JNDI ໄດ້ສາມາດນໍາໃຊ້ການປິ່ນປົວປະສິດທິພາບໃນໄລຍະເວລາ, ໃນຂະນະທີ່ອື່ນໆໄດ້ໃຊ້ເວລາມື້ຫຼືພຽງແຕ່ຊົ່ວໂມງເພື່ອປິ່ນປົວຢ່າງເຕັມທີ່."

ຜົນປະໂຫຍດທີ່ແທ້ຈິງສໍາລັບຄອບຄົວຄວາມປອດໄພ

Skill Dive ມີປະໂຫຍດທີ່ແທ້ຈິງສໍາລັບຜູ້ຊ່ຽວຊານ:

• ການພັດທະນາຂອງການຢັ້ງຢືນຮູບແບບການທົດລອງທີ່ເຮັດໃຫ້ການຕອບສະຫນັບສະຫນູນຄວາມໄວສູງ
• ຊື່ຫຍໍ້ຂອງ : Understand attack chains beyond what bulletins describe
• ການຄວບຄຸມທີມງານການຝຶກອົບຮົມສໍາລັບການປະຫວັດສາດຄວາມກົດດັນສູງ
• ດາວນ໌ໂຫລດ Open Source
• ການກໍ່ສ້າງຄວາມສາມາດທີ່ທັນສະໄຫມການປ່ຽນແປງກັບການພັດທະນາທາງດ້ານການຄົ້ນຄວ້າ

ທີມງານ SecOps, ຜູ້ຊ່ຽວຊານດ້ານຄວາມປອດໄພແລະຜູ້ບໍລິຫານ IT ມີສິ່ງທີ່ຄົ້ນຄວ້າການຢັ້ງຢືນບໍ່ມີ: ການຝຶກອົບຮົມ hands-on ມີຄວາມປອດໄພໃນໂລກທີ່ແທ້ຈິງ.

"ຜູ້ຊ່ຽວຊານຄວາມປອດໄພທີ່ທັນສະໄຫມການຝຶກອົບຮົມຄວາມປອດໄພໃນທັນສະໄຫມຈະເປັນປະໂຫຍດເພີ່ມເຕີມສໍາລັບການບໍລິສັດຂອງເຂົາເຈົ້າ," Wallace ເວົ້າວ່າ. "ຜູ້ປອດໄພທີ່ດີທີ່ສຸດຮູ້ສຶກທັງສອງທັນສະໄຫມແລະການປອດໄພຂອງອຸປະກອນ."

"ຜູ້ຊ່ຽວຊານຄວາມປອດໄພທີ່ທັນສະໄຫມການຝຶກອົບຮົມຄວາມປອດໄພໃນທັນສະໄຫມຈະເປັນປະໂຫຍດເພີ່ມເຕີມສໍາລັບການບໍລິສັດຂອງເຂົາເຈົ້າ," Wallace ເວົ້າວ່າ. "ຜູ້ປອດໄພທີ່ດີທີ່ສຸດຮູ້ສຶກທັງສອງທັນສະໄຫມແລະການປອດໄພຂອງອຸປະກອນ."

ປະສິດທິພາບສູງຂອງ CVEs ໃນ Skill Dive Collection

Platform ມີຫ້ອງທົດລອງມືອາຊີບສໍາລັບຄວາມປອດໄພທີ່ໃຊ້ເວລາຫຼາຍທີ່ສຸດໃນສະພາບແວດລ້ອມອຸດສາຫະກໍາ, ລວມທັງ:

• OpenMetadata Authentication Bypass (CVE-2024-28255): ການນໍາໃຊ້ເຄື່ອງຈຸດປະສົງທີ່ໃຊ້ OpenMetadata ໂດຍຜ່ານການເຂົ້າລະຫັດແລະໄດ້ຮັບການປະຕິບັດລະຫັດ remote (RCE)
• Calibre RCE (CVE-2024-6782): ການນໍາໃຊ້ຄວາມປອດໄພການ execution ລະຫັດ remote ໃນ Calibre, ເຮັດໃຫ້ການເຂົ້າເຖິງລະບົບທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ
• Log4Shell (CVE-2021-44228): ການຝຶກອົບຮົມໃນການຊອກຫາແລະປິ່ນປົວຄວາມປອດໄພທີ່ສໍາຄັນສໍາລັບການ execution ລະຫັດ remote ທີ່ continue to plague Java applications across multiple sectors
• Spring4Shell (CVE-2022-22965): ຊອກຫາປະສົບການມືອາຊີບທີ່ມີຄວາມປອດໄພ RCE ທີ່ຖືກນໍາໃຊ້ຢ່າງກວ້າງຂວາງທີ່ແຕກຕ່າງກັນກ່ຽວກັບການນໍາໃຊ້ Spring Framework

"We continuously track which vulnerabilities are most actively exploited," ເວົ້າວ່າ Wallace. "ການຄົ້ນຄວ້າຂອງພວກເຮົາມີຄວາມ priority ຂອງ CVEs ມີຜົນປະໂຫຍດທີ່ສູງທີ່ສຸດໃນໂລກທີ່ແທ້ຈິງ, ບໍ່ພຽງແຕ່ຈຸດຄົ້ນຄວ້າຄວາມເຂັ້ມແຂງ."

"We continuously track which vulnerabilities are most actively exploited," ເວົ້າວ່າ Wallace. "ການຄົ້ນຄວ້າຂອງພວກເຮົາມີຄວາມ priority ຂອງ CVEs ມີຜົນປະໂຫຍດທີ່ສູງທີ່ສຸດໃນໂລກທີ່ແທ້ຈິງ, ບໍ່ພຽງແຕ່ຈຸດຄົ້ນຄວ້າຄວາມເຂັ້ມແຂງ."

ການປັບປຸງຄວາມປອດໄພໂດຍການຝຶກອົບຮົມ

ວິທີການ Skill Dive ລວມທັງ:

• ການປັບປຸງປະຈໍາເດືອນທີ່ເຫມາະສົມກັບຮູບແບບຄວາມປອດໄພ emerging
• ສະພາບແວດລ້ອມທີ່ແທ້ຈິງສະພາບແວດລ້ອມສະພາບແວດລ້ອມການຜະລິດ
• ການຢັ້ງຢືນມືອາຊີບທີ່ລັກສະນະກ່ຽວກັບການຕັດສິນໃຈປະສິດທິພາບ
• ການພັດທະນາຢ່າງກວ້າງຂວາງໂດຍອີງໃສ່ການທົດລອງໂລກທີ່ແທ້ຈິງ

ການເພີ່ມເຕີມຂອງຫ້ອງທົດລອງທີ່ຜ່ານມາປະກອບດ້ວຍຄວາມປອດໄພທີ່ນໍາໃຊ້ທີ່ສຸດອື່ນໆເຊັ່ນ: Cacti Import Packages RCE (CVE-2024-25641), Gradio Path Traversal (CVE-2024-1561), Calibre Arbitrary File Read (CVE-2024-6781), Graylog Information Exposure (CVE-2024-24824), ແລະ Navidrome SQL Injection (CVE-2024-47062).

"ທີມງານຄວາມປອດໄພທີ່ຝຶກອົບຮົມກັບຄວາມປອດໄພໃຫມ່, ການປິ່ນປົວຄວາມປອດໄພເພີ່ມເຕີມ, ໄລຍະເວລາ," Wallace ເວົ້າວ່າ. "ການຝຶກອົບຮົມການປ່ຽນແປງການປົກປ້ອງຈາກການປິ່ນປົວຄວາມປອດໄພໃນໄລຍະເວລາໃນປະສິດທິພາບທີ່ດີເລີດ."

"ທີມງານຄວາມປອດໄພທີ່ຝຶກອົບຮົມກັບຄວາມປອດໄພໃຫມ່, ການປິ່ນປົວຄວາມປອດໄພເພີ່ມເຕີມ, ໄລຍະເວລາ," Wallace ເວົ້າວ່າ. "ການຝຶກອົບຮົມການປ່ຽນແປງການປົກປ້ອງຈາກການປິ່ນປົວຄວາມປອດໄພໃນໄລຍະເວລາໃນປະສິດທິພາບທີ່ດີເລີດ."

ປະເພດ

ຊື່ຫຍໍ້ຂອງ : Enterprise Packages for Team Training

ສໍາລັບຂໍ້ມູນເພີ່ມເຕີມ, users can visitຫນ້າທໍາອິດ / cyber-ranges

ກ່ຽວກັບ INE Security

ລະຫັດ QRເປັນຜູ້ສະຫນອງຕົ້ນຕໍຂອງການຝຶກອົບຮົມການເຊື່ອມຕໍ່ອອນໄລນ໌ແລະ cybersecurity ແລະການຢັ້ງຢືນ cybersecurity.

INE Security ເປັນການຝຶກອົບຮົມທີ່ດີທີ່ສຸດສໍາລັບບໍລິສັດ Fortune 500 ໃນທົ່ວໂລກສໍາລັບການຝຶກອົບຮົມ cybersecurity ໃນທຸລະກິດແລະສໍາລັບຜູ້ຊ່ຽວຊານ IT ທີ່ຕ້ອງການທີ່ຈະ advance ຂອງພວກເຂົາ.

ລະບົບການຝຶກອົບຮົມ INE Security ສະຫນັບສະຫນູນຄວາມຊ່ຽວຊານທີ່ບໍ່ມີຄຸນນະສົມບັດໃນໄລຍະຄວາມປອດໄພ cybersecurity.

ບໍລິສັດໄດ້ຊອກຫາສໍາລັບການສະຫນອງການຝຶກອົບຮົມດ້ານວິຊາການທີ່ດີເລີດໃນຂະນະທີ່ພວກເຮົາມີຄວາມຊອກຫາສໍາລັບຜູ້ຊອກຫາສໍາລັບການເຂົ້າເຖິງແລະ excel ໃນການເຮັດວຽກ IT ໃນທົ່ວໂລກ.

ລະຫັດ QR

ວິທະຍາໄລ Kathryn Brown

ລະຫັດ QR

ຊື່ຫຍໍ້ຂອງ : kbrown@ine.com

ບົດຄວາມນີ້ໄດ້ຈັດຂຶ້ນໂດຍ Cybernewswire under HackerNoon’s Business Bloggingພາສາລາວ.