漏洞是暴露于攻擊可能性的狀態。在網絡安全的背景下,漏洞是可以使您的系統面臨惡意軟件感染、DDoS 攻擊、注入和勒索軟件攻擊等威脅的軟件錯誤。在這篇文章中,我們將介紹 2023 年的前 5 個漏洞、事實和 30 個重要的網絡安全漏洞統計數據,以描繪出當前全球網絡威脅格局。
2023 年 5 大網絡安全漏洞統計數據
2022 年出現了相當多的嚴重漏洞,而 2023 年則以基于 Chromium 的瀏覽器中的嚴重漏洞開始。在 Follina 和 Log4shell 之間,許多漏洞使安全管理員和企業主受到嚴重關注。在我們進入統計數據之前,讓我們快速瀏覽一下 2022 年以來一些最廣為人知的漏洞。
Log4Shell (CVE-2021-44228)
2021 年在 Java 應用程序的 log4j 日志庫中發現了一個遠程代碼執行漏洞。這使得攻擊者可以通過發送特制的 HTTP 請求在受影響的設備上運行任意代碼。此漏洞危及超過 30 億臺設備。
2. Chrome 中的符號鏈接跟隨漏洞 (CVE-2022-3656)
這個漏洞是最近才發布的。在基于 Chromium 的瀏覽器中缺乏輸入驗證允許攻擊者獲得對數據的未授權訪問。該漏洞危及 25 億 Chrome 用戶。
3. Microsoft Follina MSDT 錯誤 (CVE-2022-30190)
此漏洞使攻擊者無需升級權限即可查看、修改和刪除數據。它嚴重危及組織的數據資產。
4. Spring4Shell (CVE-2022-22965)
Spring 是 Java 應用程序的重要開源框架。其中發現一個遠程代碼執行漏洞,可能影響所有版本的Spring。盡管名稱可能另有所指,但 Spring4shell 與 log4Shell 無關。
5. Adob??e Commerce RCE (CVE-2022-24086)
2022 年 2 月發現了一個影響 Adob??e Commerce 和 Magento 開源軟件的嚴重漏洞。它可能導致在易受攻擊的系統上執行任意代碼。
2023 年 30 個重要的網絡安全漏洞統計數據
漏洞和未能及時修補
- 2022 年國家漏洞數據庫有 206059 個條目。
- 僅 2022 年第一季度就列出了8,051 個漏洞。
國家漏洞數據庫是美國國土安全部的一部分。它的任務是分析 CVE 列表中發布的每個 CVE。CVE 是指常見的漏洞暴露。每當安全研究人員或組織發現新漏洞時,他們都會將其添加到 MITRE Corporation 維護的 CVE 列表中。該漏洞被分配了一個 CVE ID,以便于識別和防范該漏洞。
- 80% 的漏洞是在 CVE 發布之前發布的。漏洞利用發布與相應 CVE 之間的平均間隔為 23 天。
這意味著在發現特定漏洞后,黑客在組織的安全管理員甚至沒有意識到該漏洞的存在之前就搶先一步。事實上,補丁發布和補丁部署之間的時間損失也會給組織帶來很多問題。
- 2021 年,所有攻擊中有 18%是通過 2013 年或更早時間列出的漏洞發動的。
- 四分之三的攻擊是通過 2017 年或之前暴露的漏洞發起的
- 一項研究表明,84% 的公司存在高風險漏洞,其中一半可以通過簡單的軟件更新來消除。
- 60% 的數據泄露是由于未能應用可用補丁造成的。
這些統計數據表明,強大的安全態勢依賴于組織在公司層面和技術層面的一般安全意識。這表明嚴重缺乏漏洞管理和整體安全態勢管理。
漏洞的檢測和嚴重性
- 世界經濟論壇 2020 年的一份報告承認,美國的漏洞檢測率低至 0.05%。
- 43% 的網絡攻擊針對小型企業,而只有 14% 的企業準備自衛。
- 員工人數少于 100 人的公司具有最少的嚴重或高嚴重性漏洞。
- 擁有超過 10000 名員工的公司擁有最多的嚴重漏洞。
- Web 應用程序中4.6% 的漏洞是嚴重的,而 4.4% 的漏洞具有高嚴重性。
- 當涉及到處理支付卡數據的應用程序時,嚴重漏洞的存在率增加到 8%。
這表明遵守 PCI-DSS 法規對于處理或存儲支付卡信息的公司的重要性。有趣的是,您可以將應用程序中漏洞的存在與其年齡聯系起來。
按組織年齡劃分的安全狀況
- 根據 Veracode 的一項研究,80% 的公司在初始掃描后的前 1.5 年內沒有發現新缺陷。
這段時間過后,漏洞數量開始攀升。較舊的軟件中漏洞修復的頻率較低。
- 將近 70% 的應用程序在投入生產 5 年后至少包含一個漏洞。
- 2022 年掃描的軟件中有 19% 存在高或嚴重漏洞。
我們已經了解到 Web 應用程序中存在漏洞。是時候了解不同類型的漏洞了。
是什么引起了襲擊
- 在所有網絡攻擊中,57% 歸因于網絡釣魚和社會工程學
- 受損或被盜設備占攻擊的 33%
- 30% 的攻擊是憑據盜竊造成的。
- 損壞的訪問控制在 2021 年 OWASP 十大漏洞列表中排名第一。
- 它的發生率為 3.81%,映射到此問題的 34 個 CWE 的發生頻率高于任何其他漏洞。
- 注入的發生率為 3.37%,安全配置錯誤的發生率為 4.5%。
- 研究表明,零日惡意軟件占 2021 年最后一個季度所有威脅的 66%。
云中的漏洞
- 2020 年 1 月,安全研究人員在 Microsoft Azure Infrastructure 中發現了一個 CVSS 評分為 10.0 的嚴重漏洞。
這一發現反駁了云基礎設施安全無可指責的觀點。從那時起,云安全和云漏洞一直受到利益相關者的關注。
- 自 2020 年以來,公共部門的云安全問題增加了 205%。
查找和識別漏洞只是網絡安全工作的一部分。需要類似努力的是確定漏洞的優先級并管理修復過程。
漏洞的優先級排序和修復
- 47% 的 DevSecOps 專業人士認為,未能確定漏洞的優先級(即首先修復哪個漏洞)會極大地導致漏洞積壓。
- 團隊平均每周花費 130 小時來監控和跟蹤威脅。
- 檢測、優先級排序和修復一個漏洞 需要20 多分鐘的手動工作。
修復漏洞所需的時間因行業而異。例如,
- 公共行政部門的 MTTR(平均恢復時間)在 2022 年為 92 天。而醫療機構為 44 天。
- 2022 年的平均 MTTR 為 57.5 天,比 2021 年的 60.3 天略有改善。
2022 年是充滿有趣漏洞的一年,例如 Log4Shell 和 Springshell,它們造成了嚴重破壞。也是在這一年見證了大流行之后網絡安全標準不佳的穩步糾正。我們看到了快速修補的漏洞以及自 1999 年以來一直存在的漏洞 (CVE-1999-0517)。總的來說,對于任何對網絡安全領域的潮起潮落感興趣的人來說,這是一個好年頭。網絡安全漏洞統計數據只是該動議的反映。
