持续的CVE实践缩小了漏洞警报和有效防御之间的关键差距

卡里,北卡罗来纳州, 2025年5月14日/CyberNewsWire/--一种安全作为实践性网络安全培训和认证的全球领导者,今天强调了与最新CVE(共同漏洞和暴露)相关的持续现实实践对于将安全团队从反应性到积极的捍卫者转型至关重要。

在过去的一年中记录了超过26000个新的CVE,安全团队正在溺水于漏洞警报,同时面临在许多情况下压缩到几个小时的漏洞窗口。

“阅读CVE新闻稿并不等于知道如何阻止攻击,”INE Security首席执行官Dara Warn说,“我们的Skill Dive平台为从业人员提供了实际体验,在封闭的环境中处理真正的漏洞,减少事件响应时间,当这些相同的问题打击生产。

“阅读CVE公告并不等于知道如何阻止攻击,”INE安全首席执行官Dara Warn说。Skill Dive该平台为从业者提供了实际的经验,在包含环境中的实际漏洞,减少了当这些相同问题影响生产时的事件响应时间。

Skill Dive 是 INE 安全的无风险技术环境,提供在学习途径和课程中找不到的独家实验室。潜水技能漏洞实验室收集它提供了一个不断更新的实验室库,专门为实际的CVE提供实用实践,允许安全专业人员,包括那些准备获得Pentester认证的人,在一个安全的环境中体验当前现实世界威胁的利用和减轻。

CVEs:从报纸到防守

CVE 是已知漏洞的标准标识符,但许多安全团队都在努力在规模上实施有效的缓解措施,即使有 Sec+ 和其他入门级认证。

共同的挑战包括:

• 在数百个月度CVE中优先考虑风险
• 测试减缓而不影响生产
• 适应不同系统配置的防御
• 构建在压力下工作的响应肌肉记忆
• 走在威胁曲线前面,而不是不断反应

实践今天的威胁,防止明天的破坏。

INE Security’s Skill Dive Vulnerabilities Lab Collection交付:

• 专属漏洞实验室在标准安全培训中不可用
• 月度 CVE 更新专注于高影响漏洞
• 对攻击和防御技术的孤立实践环境
• 从关键零日到常见错误配置的完整严重性覆盖
• 实际的剥削和防御经验,直接转移到生产事件

“当一个关键的CVE下降时,你没有时间理论,”INE Security的内容总监Tracy Wallace说,“实际实践的团队响应得更快,因为他们以前见过类似的攻击模式。

“当一个关键的CVE下降时,你没有时间理论,”INE Security的内容总监Tracy Wallace说,“实际实践的团队响应得更快,因为他们以前见过类似的攻击模式。

安全团队的真正好处

Skill Dive为练习者提供了即时的优势:

• 开发加速事件响应的攻击模式识别
• 了解攻击链,超出报纸描述的范围
• 实践高压安全事件的团队协调
• 在攻击者找到它们之前识别防御漏洞
• 建立直接转化为职业进步的技能

SecOps团队、安全分析师和IT管理员获得了认证课程所缺少的内容:实用实践与现实世界的漏洞。

“经常研究当前漏洞的安全专业人员对他们的组织变得更加有价值,”Wallace说,“最好的防御者都了解方程式的攻击和防御方面。

“经常研究当前漏洞的安全专业人员对他们的组织变得更加有价值,”Wallace说,“最好的防御者都了解方程式的攻击和防御方面。

技能潜水集合中的高影响CVE

该平台提供了针对企业环境中最积极利用的漏洞的实用实验室,包括:

• OpenMetadata Authentication Bypass(CVE-2024-28255):通过绕过身份验证并获得远程代码执行(RCE)来利用运行OpenMetadata的目标机器
• Calibre RCE(CVE-2024-6782):利用Calibre中的远程代码执行漏洞,导致未经授权的系统访问
• Log4Shell(CVE-2021-44228):练习识别和修复这一关键的远程代码执行漏洞,该漏洞继续在多个行业中困扰Java应用程序
• Spring4Shell (CVE-2022-22965):通过影响 Spring Framework 应用程序的广泛利用的 RCE 漏洞获得实用体验

“我们不断追踪哪些漏洞被最积极地利用,”Wallace说,“我们的收藏优先考虑具有最高现实影响的CVE,而不仅仅是理论严重性评级。

“我们不断追踪哪些漏洞被最积极地利用,”Wallace说,“我们的收藏优先考虑具有最高现实影响的CVE,而不仅仅是理论严重性评级。

通过有意实践的积极安全

Skill Dive 方法包括:

• 与新兴威胁模式一致的每月更新
• 反映生产系统的现实环境
• 专注于有效缓解措施的实际文档
• 基于现实世界攻击趋势的持续演变

最近的实验室补充包括其他最受利用的漏洞,如Cacti Import Packages RCE(CVE-2024-25641),Gradio Path Traversal(CVE-2024-1561),Calibre Arbitrary File Read(CVE-2024-6781),Graylog Information Exposure(CVE-2024-24824),以及Navidrome SQL Injection(CVE-2024-47062)。

“经常练习新的漏洞的安全团队会阻止更多的破坏,”Wallace说,“实践将防御从不断的防火转变为战略优势。

“经常练习新的漏洞的安全团队会阻止更多的破坏,”Wallace说,“实践将防御从不断的防火转变为战略优势。

可用性

Skill Dive 个别订阅现在可用,团队培训的企业包也可用。

有关更多信息,用户可以访问ine.com/cyber-ranges

关于安全的

一种安全是在线网络和网络安全培训和网络安全认证的领先提供商。

利用强大的实用实验室平台,尖端技术,全球视频分发网络和世界一流的培训人员,INE Security是全球500强公司在商业领域进行网络安全培训的顶级培训选择,以及希望推进职业生涯的IT专业人士。

INE Security的学习路径套件为网络安全提供了无与伦比的专业知识。

该公司致力于提供先进的技术培训,同时降低全球寻求进入和卓越IT职业者的障碍。

联系

凯瑟琳·布朗

一种安全

这个故事是由Cybernewswire在HackerNoon的商业博客中发布的新闻稿Program.