漏洞是暴露于攻擊可能性的狀態(tài)。在網(wǎng)絡(luò)安全的背景下，漏洞是可以使您的系統(tǒng)面臨惡意軟件感染、DDoS 攻擊、注入和勒索軟件攻擊等威脅的軟件錯(cuò)誤。在這篇文章中，我們將介紹 2023 年的前 5 個(gè)漏洞、事實(shí)和 30 個(gè)重要的網(wǎng)絡(luò)安全漏洞統(tǒng)計(jì)數(shù)據(jù)，以描繪出當(dāng)前全球網(wǎng)絡(luò)威脅格局。

2023 年 5 大網(wǎng)絡(luò)安全漏洞統(tǒng)計(jì)數(shù)據(jù)

2022 年出現(xiàn)了相當(dāng)多的嚴(yán)重漏洞，而 2023 年則以基于 Chromium 的瀏覽器中的嚴(yán)重漏洞開始。在 Follina 和 Log4shell 之間，許多漏洞使安全管理員和企業(yè)主受到嚴(yán)重關(guān)注。在我們進(jìn)入統(tǒng)計(jì)數(shù)據(jù)之前，讓我們快速瀏覽一下 2022 年以來(lái)一些最廣為人知的漏洞。

Log4Shell (CVE-2021-44228)

2021 年在 Java 應(yīng)用程序的 log4j 日志庫(kù)中發(fā)現(xiàn)了一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞。這使得攻擊者可以通過(guò)發(fā)送特制的 HTTP 請(qǐng)求在受影響的設(shè)備上運(yùn)行任意代碼。此漏洞危及超過(guò) 30 億臺(tái)設(shè)備。

2. Chrome 中的符號(hào)鏈接跟隨漏洞 (CVE-2022-3656)

這個(gè)漏洞是最近才發(fā)布的。在基于 Chromium 的瀏覽器中缺乏輸入驗(yàn)證允許攻擊者獲得對(duì)數(shù)據(jù)的未授權(quán)訪問(wèn)。該漏洞危及 25 億 Chrome 用戶。

3. Microsoft Follina MSDT 錯(cuò)誤 (CVE-2022-30190)

此漏洞使攻擊者無(wú)需升級(jí)權(quán)限即可查看、修改和刪除數(shù)據(jù)。它嚴(yán)重危及組織的數(shù)據(jù)資產(chǎn)。

4. Spring4Shell (CVE-2022-22965)

Spring 是 Java 應(yīng)用程序的重要開源框架。其中發(fā)現(xiàn)一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，可能影響所有版本的Spring。盡管名稱可能另有所指，但 Spring4shell 與 log4Shell 無(wú)關(guān)。

5. Adob??e Commerce RCE (CVE-2022-24086)

2022 年 2 月發(fā)現(xiàn)了一個(gè)影響 Adob??e Commerce 和 Magento 開源軟件的嚴(yán)重漏洞。它可能導(dǎo)致在易受攻擊的系統(tǒng)上執(zhí)行任意代碼。

2023 年 30 個(gè)重要的網(wǎng)絡(luò)安全漏洞統(tǒng)計(jì)數(shù)據(jù)

漏洞和未能及時(shí)修補(bǔ)

• 2022 年國(guó)家漏洞數(shù)據(jù)庫(kù)有 206059 個(gè)條目。
• 僅 2022 年第一季度就列出了8,051 個(gè)漏洞。

國(guó)家漏洞數(shù)據(jù)庫(kù)是美國(guó)國(guó)土安全部的一部分。它的任務(wù)是分析 CVE 列表中發(fā)布的每個(gè) CVE。CVE 是指常見的漏洞暴露。每當(dāng)安全研究人員或組織發(fā)現(xiàn)新漏洞時(shí)，他們都會(huì)將其添加到 MITRE Corporation 維護(hù)的 CVE 列表中。該漏洞被分配了一個(gè) CVE ID，以便于識(shí)別和防范該漏洞。

• 80% 的漏洞是在 CVE 發(fā)布之前發(fā)布的。漏洞利用發(fā)布與相應(yīng) CVE 之間的平均間隔為 23 天。

這意味著在發(fā)現(xiàn)特定漏洞后，黑客在組織的安全管理員甚至沒有意識(shí)到該漏洞的存在之前就搶先一步。事實(shí)上，補(bǔ)丁發(fā)布和補(bǔ)丁部署之間的時(shí)間損失也會(huì)給組織帶來(lái)很多問(wèn)題。

• 2021 年，所有攻擊中有 18%是通過(guò) 2013 年或更早時(shí)間列出的漏洞發(fā)動(dòng)的。
• 四分之三的攻擊是通過(guò) 2017 年或之前暴露的漏洞發(fā)起的
• 一項(xiàng)研究表明，84% 的公司存在高風(fēng)險(xiǎn)漏洞，其中一半可以通過(guò)簡(jiǎn)單的軟件更新來(lái)消除。
• 60% 的數(shù)據(jù)泄露是由于未能應(yīng)用可用補(bǔ)丁造成的。

這些統(tǒng)計(jì)數(shù)據(jù)表明，強(qiáng)大的安全態(tài)勢(shì)依賴于組織在公司層面和技術(shù)層面的一般安全意識(shí)。這表明嚴(yán)重缺乏漏洞管理和整體安全態(tài)勢(shì)管理。

漏洞的檢測(cè)和嚴(yán)重性

• 世界經(jīng)濟(jì)論壇 2020 年的一份報(bào)告承認(rèn)，美國(guó)的漏洞檢測(cè)率低至 0.05%。
• 43% 的網(wǎng)絡(luò)攻擊針對(duì)小型企業(yè)，而只有 14% 的企業(yè)準(zhǔn)備自衛(wèi)。
• 員工人數(shù)少于 100 人的公司具有最少的嚴(yán)重或高嚴(yán)重性漏洞。
• 擁有超過(guò) 10000 名員工的公司擁有最多的嚴(yán)重漏洞。
• Web 應(yīng)用程序中4.6% 的漏洞是嚴(yán)重的，而 4.4% 的漏洞具有高嚴(yán)重性。
• 當(dāng)涉及到處理支付卡數(shù)據(jù)的應(yīng)用程序時(shí)，嚴(yán)重漏洞的存在率增加到 8%。

這表明遵守 PCI-DSS 法規(guī)對(duì)于處理或存儲(chǔ)支付卡信息的公司的重要性。有趣的是，您可以將應(yīng)用程序中漏洞的存在與其年齡聯(lián)系起來(lái)。

按組織年齡劃分的安全狀況

• 根據(jù) Veracode 的一項(xiàng)研究，80% 的公司在初始掃描后的前 1.5 年內(nèi)沒有發(fā)現(xiàn)新缺陷。

這段時(shí)間過(guò)后，漏洞數(shù)量開始攀升。較舊的軟件中漏洞修復(fù)的頻率較低。

• 將近 70% 的應(yīng)用程序在投入生產(chǎn) 5 年后至少包含一個(gè)漏洞。
• 2022 年掃描的軟件中有 19% 存在高或嚴(yán)重漏洞。

我們已經(jīng)了解到 Web 應(yīng)用程序中存在漏洞。是時(shí)候了解不同類型的漏洞了。

是什么引起了襲擊

• 在所有網(wǎng)絡(luò)攻擊中，57% 歸因于網(wǎng)絡(luò)釣魚和社會(huì)工程學(xué)
• 受損或被盜設(shè)備占攻擊的 33%
• 30% 的攻擊是憑據(jù)盜竊造成的。
• 損壞的訪問(wèn)控制在 2021 年 OWASP 十大漏洞列表中排名第一。
• 它的發(fā)生率為 3.81%，映射到此問(wèn)題的 34 個(gè) CWE 的發(fā)生頻率高于任何其他漏洞。
• 注入的發(fā)生率為 3.37%，安全配置錯(cuò)誤的發(fā)生率為 4.5%。
• 研究表明，零日惡意軟件占 2021 年最后一個(gè)季度所有威脅的 66%。

云中的漏洞

• 2020 年 1 月，安全研究人員在 Microsoft Azure Infrastructure 中發(fā)現(xiàn)了一個(gè) CVSS 評(píng)分為 10.0 的嚴(yán)重漏洞。

這一發(fā)現(xiàn)反駁了云基礎(chǔ)設(shè)施安全無(wú)可指責(zé)的觀點(diǎn)。從那時(shí)起，云安全和云漏洞一直受到利益相關(guān)者的關(guān)注。

• 自 2020 年以來(lái)，公共部門的云安全問(wèn)題增加了 205%。

查找和識(shí)別漏洞只是網(wǎng)絡(luò)安全工作的一部分。需要類似努力的是確定漏洞的優(yōu)先級(jí)并管理修復(fù)過(guò)程。

漏洞的優(yōu)先級(jí)排序和修復(fù)

• 47% 的 DevSecOps 專業(yè)人士認(rèn)為，未能確定漏洞的優(yōu)先級(jí)（即首先修復(fù)哪個(gè)漏洞）會(huì)極大地導(dǎo)致漏洞積壓。
• 團(tuán)隊(duì)平均每周花費(fèi) 130 小時(shí)來(lái)監(jiān)控和跟蹤威脅。
• 檢測(cè)、優(yōu)先級(jí)排序和修復(fù)一個(gè)漏洞 需要20 多分鐘的手動(dòng)工作。

修復(fù)漏洞所需的時(shí)間因行業(yè)而異。例如，

• 公共行政部門的 MTTR（平均恢復(fù)時(shí)間）在 2022 年為 92 天。而醫(yī)療機(jī)構(gòu)為 44 天。
• 2022 年的平均 MTTR 為 57.5 天，比 2021 年的 60.3 天略有改善。

2022 年是充滿有趣漏洞的一年，例如 Log4Shell 和 Springshell，它們?cè)斐闪藝?yán)重破壞。也是在這一年見證了大流行之后網(wǎng)絡(luò)安全標(biāo)準(zhǔn)不佳的穩(wěn)步糾正。我們看到了快速修補(bǔ)的漏洞以及自 1999 年以來(lái)一直存在的漏洞 (CVE-1999-0517)。總的來(lái)說(shuō)，對(duì)于任何對(duì)網(wǎng)絡(luò)安全領(lǐng)域的潮起潮落感興趣的人來(lái)說(shuō)，這是一個(gè)好年頭。網(wǎng)絡(luò)安全漏洞統(tǒng)計(jì)數(shù)據(jù)只是該動(dòng)議的反映。