Nepārtraukta CVE prakse aizver kritisko plaisu starp neaizsargātības brīdinājumiem un efektīvu aizsardzību

Cary, Ziemeļkarolīna, 14. maijs 2025/CyberNewsWire/--Viena drošība, kas ir pasaules līderis praktiskajā kiberdrošības apmācībā un sertifikācijās, šodien uzsvēra, kā pastāvīga reālā prakse ar jaunākajām CVEs (Kopējās neaizsargātības un ekspozīcijas) ir būtiska, lai pārveidotu drošības komandas no reaktīviem uz proaktīviem aizstāvjiem.

Ar vairāk nekā 26 000 jaunu CVE, kas dokumentēti pagājušajā gadā, drošības komandas ir noslīkušas ievainojamības brīdinājumos, kamēr saskaras ar ekspluatācijas logiem, kas daudzos gadījumos ir saspiesti līdz stundām.

"CVE biļetenu lasīšana nav tas pats, kas zināt, kā apturēt uzbrukumu, " teica Dara Warn, INE drošības izpilddirektors. "Mūsu Skill Dive platforma sniedz praktizētājiem praktisku pieredzi ar reālām neaizsargātībām ierobežotās vidēs, samazinot incidentu reaģēšanas laiku, kad šīs pašas problēmas skāra ražošanu.

"CVE biļetenu lasīšana nav tas pats, kas zināt, kā apturēt uzbrukumu, " teica Dara Warn, INE drošības izpilddirektors.Spēja nirstplatforma sniedz praktiķiem praktisku pieredzi ar reālām neaizsargātībām ierobežotās vidēs, samazinot incidentu reaģēšanas laiku, kad šīs pašas problēmas skar ražošanu.

Skill Dive is INE Security's risk-free technical environment featuring exclusive labs not found in learning paths and courses.Dive’s prasmesIevainojamības lab kolekcijapiedāvā nepārtraukti atjauninātu laboratoriju bibliotēku, kas īpaši izstrādāta, lai nodrošinātu praktisku praksi ar reāliem CVE, ļaujot drošības speciālistiem, tostarp tiem, kas gatavojas pentester sertifikācijām, pieredzēt gan pašreizējo reālo draudu izmantošanu, gan mazināšanu drošā vidē.

CVEs: no bulletina līdz aizsardzībai

CVE ir pazīstamo ievainojamību standarta identifikatori, bet daudzas drošības komandas cīnās, lai īstenotu efektīvus mēroga mazināšanas pasākumus, pat tos, kuriem ir Sec+ un citi sākotnējā līmeņa sertifikāti.

Kopējie izaicinājumi ietver:

• Riska prioritāte simtiem ikmēneša CVE
• Izmēģiniet mitrināšanu, neietekmējot ražošanu
• Aizsardzības pielāgošana dažādām sistēmas konfigurācijām
• Izveidojiet muskuļu atmiņu, kas darbojas zem spiediena
• Iegūt priekšā draudu līkni, nevis pastāvīgi reaģēt

Praktizēt šodienas draudus, novērst rītdienas pārkāpumus.

INE drošības prasmju niršanas ievainojamības laboratorijas kolekcijaPiegādātāji :

• Ekskluzīvas ievainojamības laboratorijas, kas nav pieejamas standarta drošības apmācībā
• Mēneša CVE atjauninājumi, kas vērsti uz augstas ietekmes neaizsargātību
• Izolēta prakses vide gan uzbrukuma, gan aizsardzības tehnikām
• Pilnīga smaguma pakāpe no kritiskām nulles dienām līdz parastajām kļūdām
• Praktiskā ekspluatācija un aizsardzības pieredze, kas tieši pārnes uz ražošanas incidentiem

"Kad kritiskais CVE samazinās, jums nav laika teorētizēt, " teica Tracy Wallace, INE drošības satura direktors. "Komandas ar praktisku praksi reaģē ievērojami ātrāk, jo tās ir redzējušas līdzīgus uzbrukuma veidus agrāk. Log4Shell (CVE-2021-44228) bija ideāls piemērs - praktiķi, kuriem bija pieredze ar JNDI injekcijas uzbrukumiem, varēja īstenot efektīvus mazināšanas pasākumus stundu laikā, bet citi aizņēma dienas vai pat nedēļas, lai pilnībā novērstu."

"Kad kritiskais CVE samazinās, jums nav laika teorētizēt, " teica Tracy Wallace, INE drošības satura direktors. "Komandas ar praktisku praksi reaģē ievērojami ātrāk, jo tās ir redzējušas līdzīgus uzbrukuma veidus agrāk. Log4Shell (CVE-2021-44228) bija ideāls piemērs - praktiķi, kuriem bija pieredze ar JNDI injekcijas uzbrukumiem, varēja īstenot efektīvus mazināšanas pasākumus stundu laikā, bet citi aizņēma dienas vai pat nedēļas, lai pilnībā novērstu."

Reālie ieguvumi drošības komandām

Skill Dive sniedz tūlītējas priekšrocības praktizētājiem:

• Izstrādāt uzbrukuma modeļa atpazīšanu, kas paātrina incidentu reakciju
• Izprast uzbrukumu ķēdes, kas pārsniedz to, ko apraksta biļetes
• Prakse komandas koordinācija augsta spiediena drošības pasākumiem
• Identificējiet aizsardzības trūkumus, pirms uzbrucēji tos atrod
• Izstrādāt prasmes, kas tieši tulkojas uz karjeras attīstību

SecOps komandas, drošības analītiķi un IT administratori saņem tieši to, ko trūkst sertifikācijas kursiem: praktiska prakse ar reālās pasaules neaizsargātībām.

"Drošības speciālisti, kas regulāri pārbauda pašreizējās neaizsargātības, kļūst eksponenciāli vērtīgāki savām organizācijām," sacīja Wallace. "Labākie aizstāvji saprot gan uzbrukuma, gan aizsardzības puses."

"Drošības speciālisti, kas regulāri pārbauda pašreizējās neaizsargātības, kļūst eksponenciāli vērtīgāki savām organizācijām," sacīja Wallace. "Labākie aizstāvji saprot gan uzbrukuma, gan aizsardzības puses."

Augstas ietekmes CVEs Skill Dive kolekcijā

Platformā ir praktiskas laboratorijas visaktīvāk izmantotajām neaizsargātībām uzņēmumu vidē, tostarp:

• OpenMetadata Authentication Bypass (CVE-2024-28255): Izmantojiet mērķa mašīnu, kas darbojas ar OpenMetadata, apejot autentifikāciju un iegūstot attālo koda izpildi (RCE)
• Calibre RCE (CVE-2024-6782): Izmanto attālās koda izpildes ievainojamību Calibre, kas noved pie neautorizētas sistēmas piekļuves
• Log4Shell (CVE-2021-44228): Prakse, lai identificētu un novērstu šo kritisko tālvadības koda izpildes ievainojamību, kas turpina apdraudēt Java lietotnes vairākās nozarēs
• Spring4Shell (CVE-2022-22965): Iegūstiet praktisku pieredzi ar šo plaši izmantoto RCE ievainojamību, kas ietekmē Spring Framework lietojumprogrammas

"Mēs nepārtraukti izsekojam, kuras ievainojamības tiek visaktīvāk izmantotas," sacīja Wallace. "Mūsu kolekcija prioritizē CVEs ar vislielāko reālās pasaules ietekmi, nevis tikai teorētisko smaguma pakāpi."

"Mēs nepārtraukti izsekojam, kuras ievainojamības tiek visaktīvāk izmantotas," sacīja Wallace. "Mūsu kolekcija prioritizē CVEs ar vislielāko reālās pasaules ietekmi, nevis tikai teorētisko smaguma pakāpi."

Proaktīva drošība, izmantojot apzinātu praksi

Skill Dive pieeja ietver:

• Ikmēneša atjauninājumi, kas atbilst jaunajiem draudu modeļiem
• Reālistiskas vides, kas atspoguļo ražošanas sistēmas
• Praktiska dokumentācija, kas vērsta uz efektīviem mazināšanas pasākumiem
• Nepārtraukta evolūcija, pamatojoties uz reālās pasaules uzbrukumu tendencēm

Jaunākie lab paplašinājumi ietver citas visvairāk izmantotas neaizsargātības, piemēram, Cacti Import Packages RCE (CVE-2024-25641), Gradio Path Traversal (CVE-2024-1561), Calibre Arbitrary File Read (CVE-2024-6781), Graylog Information Exposure (CVE-2024-24824) un Navidrome SQL Injection (CVE-2024-47062).

"Drošības komandas, kas regulāri praktizē ar jaunām neaizsargātībām, pārtrauc vairāk pārkāpumu, laika periods," teica Wallace. "Praktika pārvērš aizsardzību no pastāvīgas ugunsgrēka apkarošanas stratēģiskajā priekšrocībā."

"Drošības komandas, kas regulāri praktizē ar jaunām neaizsargātībām, pārtrauc vairāk pārkāpumu, laika periods," teica Wallace. "Praktika pārvērš aizsardzību no pastāvīgas ugunsgrēka apkarošanas stratēģiskajā priekšrocībā."

pieejamība

Tagad ir pieejami individuāli Skill Dive abonamenti, kā arī ir pieejami komandu apmācības uzņēmumu pakotnes.

Lai iegūtu vairāk informācijas, lietotāji var apmeklētine.com/cyber-ranges

Par INE drošību

Viena drošībair vadošais tiešsaistes tīklu un kiberdrošības apmācības un kiberdrošības sertifikāciju sniedzējs.

Izmantojot spēcīgu praktisku laboratorijas platformu, jaunākās tehnoloģijas, globālu video izplatīšanas tīklu un pasaules klases instruktorus, INE Security ir top apmācības izvēle Fortune 500 uzņēmumiem visā pasaulē kiberdrošības apmācībai biznesā un IT profesionāļiem, kas vēlas uzlabot savu karjeru.

INE drošības mācīšanās ceļu komplekts piedāvā nesalīdzināmu pieredzes dziļumu visā kiberdrošībā.

Uzņēmums ir apņēmies sniegt uzlabotu tehnisko apmācību, vienlaikus samazinot šķēršļus visā pasaulē tiem, kas vēlas ieiet un izcelties IT karjerā.

Kontakti

Katrīna Brauna

Viena drošība

Lāčplēsis@ine.com

Šis stāsts tika publicēts kā preses paziņojums Cybernewswire HackerNoon's Business BloggingProgram.