1. 首頁 > 云知道 > >

2020年報告的漏洞數量創歷史新高高度嚴重漏洞占比達57%

云知道


2020年報告的漏洞數量創歷史新高高度嚴重漏洞占比達57%

E安全2月21日訊近日 , 根據美國國家標準與技術研究所收集的關于常見漏洞(CVE)的數據分析 , 2020年全球的安全漏洞報告比以往任何一年都多 。
托管安全服務提供商Redscan的報告顯示 , 2020年報告了18,103個漏洞 , 其中大多數被列為高度嚴重級別 , 占比達57.1% 。實際上 , 2020年披露的高嚴重性和嚴重漏洞數量超過了2010年披露的漏洞總數 。
報告中的的另一關鍵發現是不需要任何用戶交互的安全漏洞明顯激增 。在2020年美國國家標準與技術研究所報告的所有CVE中 , 這類安全漏洞占比為68% 。
2020年報告的漏洞數量創歷史新高高度嚴重漏洞占比達57%

“安全專業人士應該擔心的是 , 在2020年記錄的漏洞中 , 有三分之二以上不需要任何形式的用戶交互 。利用這些漏洞的攻擊者甚至不需要其目標就可以在不知不覺中執行操作 , 例如單擊電子郵件中的惡意鏈接 ?!盧edscan警告說 。
2020年報告的漏洞數量創歷史新高高度嚴重漏洞占比達57%

此類漏洞有多個突出的例子 , 包括一個索引為CVE-2020-5902的關鍵遠程代碼執行漏洞 , 該漏洞影響了F5 Networks的BIG-IP多用途網絡設備 。此外 , 不需要任何用戶權限的安全漏洞比例從2016年的71%下降到2020年的58% , 而與此同時 , 需要高級權限的漏洞數量卻一直在增加 。這意味著網絡犯罪分子會更加“努力” , 他們在針對高價值商標時將訴諸經過時間考驗的傳統網絡攻擊 , 例如網絡釣魚 。
2020年報告的漏洞數量創歷史新高高度嚴重漏洞占比達57%

Redscan解釋說:“具有較高特權的用戶 , 比如系統管理員 , 是網絡犯罪分子的重點攻擊目標 , 因為他們可以為攻擊者打開更多的大門 。”此外 , 該報告還概述了用戶需要警惕的除嚴重漏洞之外的其他方面的漏洞 。調查發現約4000個漏洞符合該條件 , 這些CVE具有較低的攻擊復雜度 , 不需要任何特權或用戶交互 , 并且具有較高的機密性 。
【2020年報告的漏洞數量創歷史新高高度嚴重漏洞占比達57%】Redscan總結得出結論 , 并強調指出 , 盡管在大多數情況下危急和嚴重程度很高的漏洞應該放在首位 , 但安全團隊“不應忽視較低級別的漏洞” 。
2020年報告的漏洞數量創歷史新高高度嚴重漏洞占比達57%

“在分析漏洞帶來的潛在風險時 , 組織必須考慮的不僅僅是其嚴重性評分 。事實上 , 許多CVE從來沒有或很少被利用 , 因為它們太復雜或需要攻擊者獲得高級特權 。然而 , 低估似乎是低風險的漏洞可能會使組織容易陷入“連鎖”狀態 , 在這種情況下 , 攻擊者從一個漏洞轉移到另一個漏洞 , 并在越來越關鍵的階段逐漸獲得訪問權限 。”Redscan威脅情報主管George Glass表示 。

    推薦閱讀