根据Tenable最新研究显示,在过去五年中,已披露漏洞的数量增加183%。
周四发布的《2020年威胁态势回顾》概述了2020年披露或利用的主要漏洞,以及影响这一年的趋势,包括漏洞和勒索软件攻击。该报告由Tenable的安全响应团队的三名成员编写,这包括研究工程经理Scott Caveza、研究工程师Satnam Narang和研究工程师Rody Quinlan,其中包括截至2020年12月31日的数据和披露。
这些研究人员发现有关CVE的令人担忧的数据,这些CVE数量很多且没有被修复。在2020年,总共发现18,358个新的CVE。根据该报告,从2015年到2020年,报告的CVE数量以36.6%的年均增长率增长。
该报告称:“2020年报告18,358个CVE,而2019年报告17,305个,增加6%,比2015年报告的6,487个增加183%。在过去三年中,我们每年报告的CVE超过16,000个,这一事实反映漏洞披露的新常态。”
报告称,未修补的漏洞比零时漏洞要严重得多。研究人员在报告中写道:“这种容易利用的漏洞受到民族国家行为者和普通的网络罪犯的青睐。虽然零日漏洞通常被用于有针对性攻击,但攻击者通常会利用未修补的漏洞,这构成更大的威胁。”
Narang告诉SearchSecurity,现在攻击者会利用现有概念验证(PoC)代码发现已披露的漏洞,并将其整合到其攻击中,而不是试图发现和开发零日漏洞。
他表示:“我们都知道,零日漏洞对攻击者非常有价值,但是开发零日漏洞以及花费时间和精力自行开发相关的成本过高,攻击者更愿意选择公开PoC的所有这些未修复的系统。”
但公共PoC的可用性是决定修复和紧急程度的重要因素,尽管很多安全团队仅依赖于通用漏洞评分系统(CVSS)。该系统评分为1到10,其中10分是最关键。CVE具有CVSS分数,以及名称和标记。但是,根据该报告,一些严重但无名的漏洞被备受瞩目的漏洞所掩盖。
该报告称:“热门漏洞往往会引起媒体和企业领导者最多关注,这给安全专业人员的响应带来压力,即使对企业的威胁很小。我们对2020年备受关注的漏洞的研究显示,并非每个关键漏洞都具有名称和标记。相反,并非每个带有名称和标记的漏洞都应被视为至关重要。”
Narang说,尽管在某些情况下CVSS会提供帮助,并提供背景信息和轻松引用漏洞的方式,但我们应该深入了解更多漏洞细节信息,而不只是名称和标记。
他说:“每当你看到CVSS 10时,你会肯定地知道,这是‘我需要放弃正在做的事情,并尽快加以处理的漏洞。’但是并不是每个值得注意的漏洞都需要引起同等重视。我们想举的例子是‘Boothole’,这是带有标记和名称的漏洞,它影响着Linux和Windows设备,可绕过安全启动。这是一个有趣的漏洞,但是从总体上看,这恐怕不是最紧急的漏洞。”
同时,有些关键漏洞却受到较少关注。例如,Narang指出Oracle Web Logic漏洞,这些漏洞通常作为Oracle关键补丁更新的一部分每季度发布一次。“这些漏洞的确被利用,有时是作为零日漏洞,有时是在研究人员发布PoC后。这些漏洞没有名字,但实际上也很严重。”
新常态
正如该报告所显示,漏洞披露正在迅速增加,Tenable研究人员将其称为“新常态”。大量新漏洞的涌现可能是由于更多研究人员、漏洞猎人和企业在漏洞赏金上花钱。
Narang说:“我认为这是主要因素,漏洞赏金计划以及激励研究人员发现和披露漏洞发挥了重要作用,这里面参与的人越来越多,基本上都在寻找漏洞。”
在Tenable的研究中,漏洞的增加并不是唯一需要关注的趋势。截至10月30日,在该年度,该报告共确定730起公共数据泄露事件和220亿条暴露记录。此外,超过35%的零日漏洞是基于浏览器,并且发现18个勒索软件团伙在运行泄漏站点。
研究人员在报告中写道:“勒索软件仍然是当今企业面临的最大威胁。对于勒索软件而言,勒索是关键:勒索软件仍然是最具破坏性的全球网络威胁。”
勒索软件攻击加剧未修补漏洞和数据泄露。
未修补漏洞使敏感数据和系统遭暴露,“为勒索软件攻击者提供绝佳机会”。该报告发现,超过35%的数据泄露事故与勒索软件攻击有关,“这通常导致巨大的财务损失”。
2019年的漏洞仍然在发挥作用
2020年充斥着攻击、数据泄露事故和安全事件,同时远程办公人员增加等,但让Tenable担忧的是2019年发现的漏洞仍然在发挥作用-特别是VPN漏洞。
Narang说:“在2020年的所有18,000个漏洞中,如果你查看2020年的前五个漏洞,其中三个来自2019年,2019年的这三个漏洞是你需要重点关注的漏洞,这是因为它们仍然构成问题。”
这包括CVE-2018-13379:Fortinet FortiOS SSL VPN Web Portal Information,CVE-2019-11510:Arbitrary File Disclosure in Pulse Connect Secure以及CVE-2019-19781: Citrix Application Delivery Controller (ADC) and Gateway。针对这些漏洞的修复程序已于2019年发布。
“这些漏洞正在被非常有决心的国家行为者利用。我想特别强调修复这些漏洞的重要性,因为这是通向你网络的网关,对我们所有人来说,这都非常重要。”
对于整体漏洞披露,在2021年的第一个月,这种情况似乎没有改善。Tenable研究人员在周二的博客文章中指出,在2021年的第一个补丁周二中,微软修复83个CVE,其中10个被评为关键。
该博客文章说:“与2020年1月相比,修补的CVE数量增加了69%。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]