Thực hành CVE liên tục thu hẹp khoảng cách quan trọng giữa cảnh báo lỗ hổng và phòng thủ hiệu quả

Cary, Bắc Carolina, 14 tháng 5 năm 2025/CyberNewsWire/--an ninh một, một nhà lãnh đạo toàn cầu trong đào tạo và chứng nhận an ninh mạng thực tế, hôm nay nhấn mạnh cách thực hành thực tế liên tục với CVEs mới nhất (Lỗ hổng và Phơi nhiễm phổ biến) là điều cần thiết để chuyển đổi các đội bảo mật từ phản ứng thành những người bảo vệ chủ động.

Với hơn 26.000 CVE mới được ghi nhận trong năm qua, các nhóm bảo mật đang chìm đắm trong các cảnh báo lỗ hổng trong khi phải đối mặt với các cửa sổ khai thác đã nén đến hàng giờ trong nhiều trường hợp.

"Đọc bản tin CVE không giống như biết làm thế nào để ngăn chặn cuộc tấn công", Dara Warn, Giám đốc điều hành tại INE Security cho biết. "Nền tảng Skill Dive của chúng tôi cung cấp cho các học viên kinh nghiệm thực tế với các lỗ hổng thực sự trong môi trường chứa đựng, cắt giảm thời gian phản ứng sự cố khi các vấn đề tương tự rơi vào sản xuất. cách tiếp cận thực tế này mang lại nhiều giá trị hơn so với chứng nhận bảo mật truyền thống một mình."

"Đọc các bản tin CVE không giống như biết làm thế nào để ngăn chặn cuộc tấn công", Dara Warn, CEO của INE Security cho biết.Kỹ năng lặnnền tảng cung cấp cho các học viên kinh nghiệm thực tế với các lỗ hổng thực sự trong môi trường chứa đựng, giảm thời gian phản hồi sự cố khi các vấn đề tương tự xảy ra trong sản xuất. cách tiếp cận thực tế này mang lại nhiều giá trị hơn so với chứng nhận bảo mật truyền thống một mình. "

Skill Dive là môi trường kỹ thuật không rủi ro của INE Security với các phòng thí nghiệm độc quyền không tìm thấy trong các con đường học tập và các khóa học.Kỹ năng DiveSơ lược về Vulnerabilities Lab Collectioncung cấp một thư viện các phòng thí nghiệm được cập nhật liên tục được thiết kế đặc biệt để cung cấp thực hành thực tế với CVEs thực tế, cho phép các chuyên gia bảo mật, bao gồm cả những người chuẩn bị cho chứng nhận pentester, để trải nghiệm cả việc khai thác và giảm thiểu các mối đe dọa thực tế hiện tại trong một môi trường an toàn.

CVEs: Từ Bulletin đến Quốc phòng

CVE là các định danh tiêu chuẩn cho các lỗ hổng đã biết, nhưng nhiều nhóm bảo mật đấu tranh để thực hiện các biện pháp giảm nhẹ hiệu quả ở quy mô lớn, ngay cả những người có chứng nhận Sec+ và các chứng nhận cấp nhập cảnh khác.

Những thách thức chung bao gồm:

• Ưu tiên rủi ro trên hàng trăm CVE hàng tháng
• Thử nghiệm giảm thiểu mà không ảnh hưởng đến sản xuất
• Tùy chỉnh phòng thủ cho các cấu hình hệ thống khác nhau
• Xây dựng bộ nhớ cơ phản ứng hoạt động dưới áp lực
• Đi trước đường cong mối đe dọa thay vì liên tục phản ứng

Thực hành các mối đe dọa của ngày hôm nay, ngăn chặn những vi phạm của ngày mai.

Thông tin kỹ năng của INE Security's Skill Dive Vulnerabilities Lab CollectionCung cấp :

• Phòng thí nghiệm lỗ hổng độc quyền không có trong đào tạo bảo mật tiêu chuẩn
• Cập nhật CVE hàng tháng tập trung vào các lỗ hổng tác động cao
• Môi trường thực hành cô lập cho cả kỹ thuật tấn công và phòng thủ
• Độ nghiêm trọng đầy đủ từ các ngày không quan trọng đến các lỗi cấu hình thông thường
• Kinh nghiệm khai thác và phòng thủ thực tế chuyển tiếp trực tiếp đến các sự cố sản xuất

"Khi một CVE quan trọng giảm, bạn không có thời gian để lý thuyết hóa", Tracy Wallace, Giám đốc Nội dung tại INE Security nói. "Các nhóm có thực hành thực hành phản ứng nhanh hơn đáng kể bởi vì họ đã thấy các mô hình tấn công tương tự trước đây. Log4Shell (CVE-2021-44228) là một ví dụ hoàn hảo - các học viên có kinh nghiệm với các cuộc tấn công tiêm JNDI đã có thể thực hiện các biện pháp giảm nhẹ hiệu quả trong vài giờ, trong khi những người khác mất vài ngày hoặc thậm chí vài tuần để khắc phục hoàn toàn."

"Khi một CVE quan trọng giảm, bạn không có thời gian để lý thuyết hóa", Tracy Wallace, Giám đốc Nội dung tại INE Security nói. "Các nhóm có thực hành thực hành phản ứng nhanh hơn đáng kể bởi vì họ đã thấy các mô hình tấn công tương tự trước đây. Log4Shell (CVE-2021-44228) là một ví dụ hoàn hảo - các học viên có kinh nghiệm với các cuộc tấn công tiêm JNDI đã có thể thực hiện các biện pháp giảm nhẹ hiệu quả trong vài giờ, trong khi những người khác mất vài ngày hoặc thậm chí vài tuần để khắc phục hoàn toàn."

Lợi ích thực sự cho các nhóm an ninh

Skill Dive mang lại những lợi ích ngay lập tức cho các học viên:

• Phát triển nhận dạng mô hình tấn công để tăng tốc độ phản ứng sự cố
• Hiểu các chuỗi tấn công vượt ra ngoài những gì bản tin mô tả
• Thực hành phối hợp nhóm cho các sự kiện an ninh áp lực cao
• Xác định các lỗ hổng phòng thủ trước khi kẻ tấn công tìm thấy chúng
• Xây dựng các kỹ năng trực tiếp chuyển sang sự tiến bộ nghề nghiệp

Các nhóm SecOps, các nhà phân tích bảo mật và quản trị viên CNTT nhận được chính xác những gì các khóa học chứng nhận bỏ lỡ: thực hành thực tế với các lỗ hổng trong thế giới thực.

"Các chuyên gia an ninh thường xuyên tập luyện các lỗ hổng hiện tại trở nên có giá trị hơn cho các tổ chức của họ", Wallace nói. "Các hậu vệ giỏi nhất hiểu cả hai mặt tấn công và phòng thủ của phương trình."

"Các chuyên gia an ninh thường xuyên tập luyện các lỗ hổng hiện tại trở nên có giá trị hơn cho các tổ chức của họ", Wallace nói. "Các hậu vệ giỏi nhất hiểu cả hai mặt tấn công và phòng thủ của phương trình."

CVE có tác động cao trong bộ sưu tập Skill Dive

Nền tảng này có các phòng thí nghiệm thực hành cho các lỗ hổng được khai thác tích cực nhất trong môi trường doanh nghiệp, bao gồm:

• OpenMetadata Authentication Bypass (CVE-2024-28255): Tận dụng máy mục tiêu chạy OpenMetadata bằng cách bỏ qua xác thực và đạt được thực thi mã từ xa (RCE)
• Calibre RCE (CVE-2024-6782): khai thác lỗ hổng thực thi mã từ xa trong Calibre, dẫn đến truy cập hệ thống trái phép
• Log4Shell (CVE-2021-44228): Thực hành xác định và khắc phục lỗ hổng thực thi mã từ xa quan trọng này tiếp tục quấy rối các ứng dụng Java trên nhiều lĩnh vực
• Spring4Shell (CVE-2022-22965): Có được kinh nghiệm thực tế với lỗ hổng RCE được khai thác rộng rãi này ảnh hưởng đến các ứng dụng Spring Framework

"Chúng tôi liên tục theo dõi những lỗ hổng nào được khai thác tích cực nhất", Wallace nói. "Các CVE có tác động thực tế cao nhất được ưu tiên trong bộ sưu tập của chúng tôi, không chỉ là xếp hạng nghiêm trọng lý thuyết."

"Chúng tôi liên tục theo dõi những lỗ hổng nào được khai thác tích cực nhất", Wallace nói. "Các CVE có tác động thực tế cao nhất được ưu tiên trong bộ sưu tập của chúng tôi, không chỉ là xếp hạng nghiêm trọng lý thuyết."

An ninh chủ động thông qua thực hành có chủ ý

Phương pháp Skill Dive bao gồm:

• Cập nhật hàng tháng phù hợp với các mô hình mối đe dọa mới nổi
• Môi trường thực tế phản ánh các hệ thống sản xuất
• Tài liệu thực tế tập trung vào các biện pháp giảm nhẹ hiệu quả
• Tiếp tục phát triển dựa trên xu hướng tấn công thế giới thực

Các bổ sung trong phòng thí nghiệm gần đây bao gồm các lỗ hổng được khai thác nhiều nhất khác như Cacti Import Packages RCE (CVE-2024-25641), Gradio Path Traversal (CVE-2024-1561), Calibre Arbitrary File Read (CVE-2024-6781), Graylog Information Exposure (CVE-2024-24824), và Navidrome SQL Injection (CVE-2024-47062).

"Các nhóm an ninh thường xuyên thực hành với các lỗ hổng mới ngăn chặn nhiều lỗ hổng hơn, thời gian", Wallace nói.

"Các nhóm an ninh thường xuyên thực hành với các lỗ hổng mới ngăn chặn nhiều lỗ hổng hơn, thời gian", Wallace nói.

Tính sẵn có

Đăng ký cá nhân cho Skill Dive có sẵn ngay bây giờ. gói Enterprise cho đào tạo nhóm cũng có sẵn.

Để biết thêm thông tin, người dùng có thể truy cậpTrang chủ / cyber-ranges

Về an ninh

an ninh mộtlà nhà cung cấp hàng đầu về đào tạo mạng trực tuyến và an ninh mạng và chứng nhận an ninh mạng.

Sử dụng một nền tảng phòng thí nghiệm thực hành mạnh mẽ, công nghệ tiên tiến, mạng lưới phân phối video toàn cầu và giảng viên đẳng cấp thế giới, INE Security là lựa chọn đào tạo hàng đầu cho các công ty Fortune 500 trên toàn thế giới để đào tạo an ninh mạng trong kinh doanh và cho các chuyên gia CNTT tìm kiếm để thúc đẩy sự nghiệp của họ.

Bộ các con đường học tập của INE Security cung cấp một chiều sâu không thể so sánh của chuyên môn trên toàn bộ an ninh mạng.

Công ty cam kết cung cấp đào tạo kỹ thuật tiên tiến trong khi cũng làm giảm các rào cản trên toàn thế giới cho những người muốn tham gia và vượt trội trong sự nghiệp CNTT.

Liên hệ

Bà Kathryn Brown

an ninh một

Thảo luận kbrown@ine.com

Câu chuyện này được xuất bản dưới dạng thông cáo báo chí của Cybernewswire trong HackerNoon’s Business BloggingProgram.