Кері, Північна Кароліна, 14 травня 2025/CyberNewsWire/--
З більш ніж 26 000 нових CVE, задокументованих за минулий рік, команди безпеки потопають в попередженнях про уразливість, а також стикаються з вибуховими вікнами, які у багатьох випадках стиснулися до годин.
«Читання бюлетенів CVE – це не те ж саме, що знання, як зупинити атаку», – сказав Дара Уорн, генеральний директор INE Security. „Наша платформа Skill Dive дає практикам практичний досвід з реальними уразливостями в заблокованих середовищах, скорочуючи час реакції на інциденти, коли ті ж проблеми вражають виробництво.
«Читання бюлетенів CVE – це не те ж саме, що знання, як зупинити атаку», – сказав Дара Уорн, генеральний директор INE Security. „Наша платформа Skill Dive дає практикам практичний досвід з реальними уразливостями в заблокованих середовищах, скорочуючи час реакції на інциденти, коли ті ж проблеми вражають виробництво.
Навички дайвіру
CVEs: від бюлетеня до оборони
CVE є стандартними ідентифікаторами для відомих вразливостей, але багато команд безпеки борються з впровадженням ефективних зменшень масштабів, навіть з Sec+ та іншими сертифікаціями початкового рівня.
Загальні виклики включають:
- Пріоритетність ризику через сотні щомісячних CVE
- Випробування пом'якшень без впливу на виробництво
- Адаптація оборони до різних системних конфігурацій
- Створення м'язової пам'яті, яка працює під тиском
- Випередження кривої загрози замість постійного реагування
Практикуйте сьогоднішні загрози, запобігайте завтрашнім порушенням.
- Ексклюзивні лабораторії уразливостей, недоступні в стандартному тренінгу з безпеки
- Щомісячні оновлення CVE з акцентом на уразливості з високим впливом
- Ізольоване середовище практики як для наступальних, так і для оборонних методів
- Повне охоплення тяжкості від критичних нульових днів до загальних помилок
- Практичний досвід експлуатації та оборони, що передається безпосередньо на виробничі інциденти
"Коли критичний CVE падає, у вас немає часу теоретизувати", - сказала Трейсі Уоллес, директор контенту в INE Security. - Команди з практичною практикою реагують значно швидше, тому що вони бачили аналогічні шаблони атак раніше. Log4Shell (CVE-2021-44228) був ідеальним прикладом - практикуючі, які мали досвід з ін'єкційними атаками JNDI, змогли впровадити ефективні пом'якшення протягом декількох годин, в той час як інші потребували днів або навіть тижнів, щоб повністю виправити ситуацію".
"Коли критичний CVE падає, у вас немає часу теоретизувати", - сказала Трейсі Уоллес, директор контенту в INE Security. - Команди з практичною практикою реагують значно швидше, тому що вони бачили аналогічні шаблони атак раніше. Log4Shell (CVE-2021-44228) був ідеальним прикладом - практикуючі, які мали досвід з ін'єкційними атаками JNDI, змогли впровадити ефективні пом'якшення протягом декількох годин, в той час як інші потребували днів або навіть тижнів, щоб повністю виправити ситуацію".
Реальні переваги для команд безпеки
Skill Dive надає практикам негайні переваги:
- Розробка розпізнавання нападу, що прискорює реакцію на інцидент
- Розумійте ланцюжки атак, які виходять за межі того, що описують бюлетені
- Координація команд для проведення заходів з безпеки під високим тиском
- Визначте оборонні прогалини, перш ніж нападники знайдуть їх
- Будівництво навичок, які безпосередньо перекладаються на кар'єрний прогрес
Команди SecOps, аналітики безпеки та адміністратори ІТ отримують саме те, чого не вистачає курсам сертифікації: практична практика з уразливостями реального світу.
"Професіонали з безпеки, які регулярно вивчають поточні вразливості, стають експоненціально більш цінними для своїх організацій", - сказав Уоллес. - Кращі захисники розуміють як атаку, так і оборонні сторони рівняння".
"Професіонали з безпеки, які регулярно вивчають поточні вразливості, стають експоненціально більш цінними для своїх організацій", - сказав Уоллес. - Кращі захисники розуміють як атаку, так і оборонні сторони рівняння".
Високоефективні CVE в колекції Skill Dive
Платформа має практичні лабораторії для найбільш активно використовуваних вразливостей в корпоративних середовищах, включаючи:
- OpenMetadata Authentication Bypass (CVE-2024-28255): Використання цільової машини OpenMetadata, обійшовши аутентифікацію і отримавши віддалене виконання коду (RCE)
- Calibre RCE (CVE-2024-6782): Використання уразливості віддаленого виконання коду в Calibre, що призводить до несанкціонованого доступу до системи
- Log4Shell (CVE-2021-44228): Практика виявлення та виправлення цієї критичної уразливості у віддаленому виконанні коду, яка продовжує завдавати шкоди додаткам Java у багатьох секторах
- Spring4Shell (CVE-2022-22965): Отримайте практичний досвід з цією широко використовуваною вразливістю RCE, що впливає на програми Spring Framework
"Ми постійно відстежуємо, які уразливості найбільш активно використовуються", - сказав Уоллес. - Наша колекція пріоритетує CVE з найвищим впливом в реальному світі, а не тільки теоретичні рейтинги серйозності".
"Ми постійно відстежуємо, які уразливості найбільш активно використовуються", - сказав Уоллес. - Наша колекція пріоритетує CVE з найвищим впливом в реальному світі, а не тільки теоретичні рейтинги серйозності".
Проактивна безпека через навмисну практику
Підхід Skill Dive включає в себе:
- Щомісячні оновлення, узгоджені з новою загрозою
- Реалістичні середовища, що відображають виробничі системи
- Практична документація, орієнтована на ефективні пом'якшення
- Постійна еволюція, заснована на реальних тенденціях атак
Останні лабораторні додатки включають інші найбільш використовувані уразливості, такі як Cacti Import Packages RCE (CVE-2024-25641), Gradio Path Traversal (CVE-2024-1561), Calibre Arbitrary File Read (CVE-2024-6781), Graylog Information Exposure (CVE-2024-24824), і Navidrome SQL Injection (CVE-2024-47062).
«Команди безпеки, які регулярно практикують з новими уразливостями, зупиняють більше порушень, — сказав Уоллес. — Практика перетворює оборону з постійної пожежної боротьби на стратегічну перевагу».
«Команди безпеки, які регулярно практикують з новими уразливостями, зупиняють більше порушень, — сказав Уоллес. — Практика перетворює оборону з постійної пожежної боротьби на стратегічну перевагу».
Доступність
Індивідуальні підписки на Skill Dive доступні зараз.Підприємницькі пакети для підготовки команд також доступні.
Для отримання додаткової інформації користувачі можуть відвідати
Про іншу безпеку
Використовуючи потужну практичну лабораторну платформу, передові технології, глобальну мережу розповсюдження відео та інструкторів світового класу, INE Security є кращим вибором підготовки для компаній Fortune 500 у всьому світі для навчання кібербезпеки в бізнесі та для фахівців з ІТ, які прагнуть просунути свою кар'єру.
Комплект шляхів навчання INE Security пропонує незрівнянну глибину досвіду у сфері кібербезпеки.
Компанія прагне до надання передового технічного навчання, а також зниження бар'єрів у всьому світі для тих, хто прагне вступити і досягти успіху в IT-кар'єрі.
Контакти
Кетрін Браун
1 Безпека
Офіційний сайт kbrown@ine.com
Ця історія була опублікована як прес-реліз Cybernewswire в рамках програми HackerNoon's Business Blogging Program.
Ця історія була опублікована як прес-реліз Cybernewswire в рамках програми HackerNoon's Business Blogging Program.
Програма
