首页 >> 网络安全 >>极客新闻 >> US-CERT报告2020年记录了17,447个漏洞
详细内容

US-CERT报告2020年记录了17,447个漏洞

时间:2020-12-17        阅读

这是自2019年以来连续第四年发现漏洞数量创记录的高水平。

美国CERT漏洞数据库已确认2020年记录了17447个漏洞,这是连续第四年发布了创纪录数量的安全漏洞。

2020年12月15日,官员们今年报告了4,168个高严重性漏洞,10,710个中严重性漏洞和2,569个低严重性漏洞。在2019年,发布了17306个漏洞:4337个高严重度漏洞,10956个中等严重度漏洞和2013个低严重度漏洞。


持续增长的情况引发了一个问题:开发人员是否在推送更多不安全的代码,还是白帽黑客越来越擅长于发现漏洞?鉴于当前的气候以及漏洞赏金计划的日益普及,专家认为这两个因素都可能在起作用。


今年,众包安全性有了巨大的增长。安全公司Bugcrowd在其最近的“优先级为1”的报告中报告,在过去12个月中,漏洞提交量与去年相比增长了50%。这些错误报告反映了P1提交(最严重的漏洞)增加了65%,提交的有效性增加了4%。


创始人兼首席技术官Casey Ellis在博客中写道:“黑客正在寻找具有更大影响力的错误,并以更高的准确性将其传达给受影响的组织。”


Web应用程序构成了报告的大多数漏洞,但是Bugcrowd数据显示,随着黑客多样化他们的技能以在不断增长的空间中保持竞争力,其他类别的应用也在赶上。到2020年,所有目标的提交量都增加了;研究人员报告,值得注意的是,今年以来,API漏洞翻了一番,在Android目标中发现的错误翻了三倍还多。


COVID-19大流行迫使安全从业人员进入响应模式,该行业起初全神贯注于保持开灯状态,更改工作方式并重新确定项目的优先级。但是,随着该行业逐渐习惯于远程工作并花更多的时间在家里,Bugcrowd看到了更多的活动:关键错误(P1)支出在今年第一和第二季度之间跃升了31%;在第二季度和第三季度之间,P2支出增加了31%。


HackerOne在今年初的最新“ Hacker Powered Security Report”中证实了类似的发现。在过去的一年中,通过HackerOne发现的18万个错误中,有三分之一以上是报告的。研究人员报告,在大流行开始后的几个月内,该平台上的新黑客注册增加了59%,提交的错误报告增加了28%。参与众包安全的企业同期支付的赏金增加了29%。


今年,许多企业不得不重新考虑他们的漏洞披露程序(VDP),该程序传统上更多地侧重于面向客户的资产和攻击面。现在,他们希望获得有关员工定期使用的第三方系统或应用程序弱点的更多信息。许多VDP已经成长为包括后端业务支持系统。


HackerOne联合创始人兼首席技术官Alex Rice说:“这离规范还遥遥无期,并且在过去几个月中已迅速成为规范。” “组织认识到他们的攻击面正在不断发展。……他们认为以前的边界并不足够。”


参与众包安全性的参与不断增加,无疑已推动了今年报告的错误数量。但是,值得注意的是大流行对软件开发的影响。K2 Cyber Security联合创始人兼首席执行官Pravin Madhani说,许多组织不得不在整个生产过程中急于开发应用程序,从而缩短了质量保证周期,并更加依赖第三方,遗留和开源代码。


他说:“尽管出现了DevSecOps和左移方法,但已发布代码中的漏洞数量仍在继续增加。” “公司仍然难以在快速将应用程序推向市场和保护其代码之间找到平衡。”


如果漏洞披露的时间证明对您的安全团队构成挑战,那么您并不孤单。2020年,微软和甲骨文在同一天推出了三次安全修复程序。星期二在补丁程序上发布的补丁程序比一个月的其他任何一天都要多,而今年对微软而言已经是一个重要的年份:2020年的八个月中,该公司为其产品和服务发布了110多个补丁程序;在6月和9月,计数为129。


我想到的第一件事就是交易量,”趋势科技“零时差倡议”(ZDI)的达斯汀·Childs(Dustin Childs)谈到补丁星期二的趋势。“微软提供的补丁太多;对于他们来说,这只是创纪录的一年。我们可能会在ZDI中披露创纪录数量的建议。”

ots网络logo

OTS网络安全门户主要提供网络信息安全教程、文章、工具,让更多的小伙伴加入我们的社区一起学习。

技术支持: 建站ABC | 管理登录