Tenable:過去5年中漏洞披露激增
根据Tenable最新研究显示,在过去五年中,已披露漏洞的数量增加183%。
周四发布的《2020年威胁态势回顾》概述了2020年披露或利用的主要漏洞,以及影响这一年的趋势,包括漏洞和勒索软件攻击。该报告由Tenable的安全响应团队的三名成员编写,这包括研究工程经理ScottCaveza、研究工程师SatnamNarang和研究工程师Rody Quinlan,其中包括截至2020年12月31日的数据和披露。
这些研究人员发现有关CVE的令人担忧的数据,这些CVE数量很多且没有被修复。在2020年,总共发现18,358个新的CVE。根据该报告,从2015年到2020年,报告的CVE数量以36.6%的年均增长率增长。
该报告称:“2020年报告18,358个CVE,而2019年报告17,305个,增加6%,比2015年报告的6,487个增加183%。在过去三年中,我们每年报告的CVE超过16,000个,这一事实反映漏洞披露的新常态。”
报告称,未修补的漏洞比零时漏洞要严重得多。研究人员在报告中写道:“这种容易利用的漏洞受到民族国家行为者和普通的网络罪犯的青睐。虽然零日漏洞通常被用于有针对性攻击,但攻击者通常会利用未修补的漏洞,这构成更大的威胁。”
Narang告诉SearchSecurity,现在攻击者会利用现有概念验证(PoC)代码发现已披露的漏洞,并将其整合到其攻击中,而不是试图发现和开发零日漏洞。
他表示:“我们都知道,零日漏洞对攻击者非常有价值,但是开发零日漏洞以及花费时间和精力自行开发相关的成本过高,攻击者更愿意选择公开PoC的所有这些未修复的系统。”
但公共PoC的可用性是决定修复和紧急程度的重要因素,尽管很多安全团队仅依赖于通用漏洞评分系统(CVSS)。该系统评分为1到10,其中10分是最关键。CVE具有CVSS分数,以及名称和标记。但是,根据该报告,一些严重但无名的漏洞被备受瞩目的漏洞所掩盖。
该报告称:“热门漏洞往往会引起媒体和企业领导者最多关注,这给安全专业人员的响应带来压力,即使对企业的威胁很小。我们对2020年备受关注的漏洞的研究显示,并非每个关键漏洞都具有名称和标记。相反,并非每个带有名称和标记的漏洞都应被视为至关重要。”
Narang说,尽管在某些情况下CVSS会提供帮助,并提供背景信息和轻松引用漏洞的方式,但我们应该深入了解更多漏洞细节信息,而不只是名称和标记。
他说:“每当你看到CVSS10时,你会肯定地知道,这是‘我需要放弃正在做的事情,并尽快加以处理的漏洞。’但是并不是每个值得注意的漏洞都需要引起同等重视。我们想举的例子是‘Boothole’,这是带有标记和名称的漏洞,它影响着Linux和Windows设备,可绕过安全启动。这是一个有趣的漏洞,但是从总体上看,这恐怕不是最紧急的漏洞。”
同时,有些关键漏洞却受到较少关注。例如,Narang指出OracleWebLogic漏洞,这些漏洞通常作为Oracle关键补丁更新的一部分每季度发布一次。“这些漏洞的确被利用,有时是作为零日漏洞,有时是在研究人员发布PoC后。这些漏洞没有名字,但实际上也很严重。”
新常态
正如该报告所显示,漏洞披露正在迅速增加,Tenable研究人员将其称为“新常态”。大量新漏洞的涌现可能是由于更多研究人员、漏洞猎人和企业在漏洞赏金上花钱。
Narang说:“我认为这是主要因素,漏洞赏金计划以及激励研究人员发现和披露漏洞发挥了重要作用,这里面参与的人越来越多,基本上都在寻找漏洞。”
在Tenable的研究中,漏洞的增加并不是唯一需要关注的趋势。截至10月30日,在该年度,该报告共确定730起公共数据泄露事件和220亿条暴露记录。此外,超过35%的零日漏洞是基于浏览器,并且发现18个勒索软件团伙在运行泄漏站点。
研究人员在报告中写道:“勒索软件仍然是当今企业面临的最大威胁。对于勒索软件而言,勒索是关键:勒索软件仍然是最具破坏性的全球网络威胁。”
勒索软件攻击加剧未修补漏洞和数据泄露。
未修补漏洞使敏感数据和系统遭暴露,“为勒索软件攻击者提供绝佳机会”。该报告发现,超过35%的数据泄露事故与勒索软件攻击有关,“这通常导致巨大的财务损失”。
2019年的漏洞仍然在发挥作用
2020年充斥着攻击、数据泄露事故和安全事件,同时远程办公人员增加等,但让Tenable担忧的是2019年发现的漏洞仍然在发挥作用-特别是虚拟专用网漏洞。
Narang说:“在2020年的所有18,000个漏洞中,如果你查看2020年的前五个漏洞,其中三个来自2019年,2019年的这三个漏洞是你需要重点关注的漏洞,这是因为它们仍然构成问题。”
这包括CVE-2018-13379:Fortinet FortiOS SSL虚拟专用网 WebPortalInformation,CVE-2019-11510:Arbitrary File Disclosure in PulseConnectSecure以及CVE-2019-19781: Citrix Application Delivery Controller (ADC)andGateway。针对这些漏洞的修复程序已于2019年发布。“
这些漏洞正在被非常有决心的国家行为者利用。我想特别强调修复这些漏洞的重要性,因为这是通向你网络的网关,对我们所有人来说,这都非常重要。”
对于整体漏洞披露,在2021年的第一个月,这种情况似乎没有改善。Tenable研究人员在周二的博客文章中指出,在2021年的第一个补丁周二中,微软修复83个CVE,其中10个被评为关键。
该博客文章说:“与2020年1月相比,修补的CVE数量增加了69%。”
鸿蒙官方战略合作共建——HarmonyOS技术社区
推薦系統(tǒng)
雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:WinXP雨林木風(fēng)在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)知名品牌,雨林木風(fēng)WindowsXP其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,是一款穩(wěn)定流暢的系統(tǒng),雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載,有需要的朋友速度下載吧。
系統(tǒng)等級:進入下載 >蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win7蘿卜家園win7純凈版是款非常純凈的win7系統(tǒng),此版本優(yōu)化更新了大量的驅(qū)動,幫助用戶們進行舒適的使用,更加的適合家庭辦公的使用,方便用戶,有需要的用戶們快來下載安裝吧。
系統(tǒng)等級:進入下載 >雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載
系統(tǒng)大小:1.01GB系統(tǒng)類型:WinXP雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載,雨林木風(fēng)WinXP系統(tǒng)技術(shù)積累雄厚深耕多年,采用了新的系統(tǒng)功能和硬件驅(qū)動,可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,加固了系統(tǒng)安全策略,運行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級:進入下載 >蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,(win10企業(yè)版,win10 ghost,win10鏡像),蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 ghost鏡像 X64位系統(tǒng)下載,其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團隊推出的蘿卜家園
系統(tǒng)等級:進入下載 >蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 ghost X64位 系統(tǒng)下載,蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,其系統(tǒng)口碑得到許多人認可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團隊推出的蘿卜家園win10國內(nèi)鏡像版,基于國內(nèi)用戶的習(xí)慣,做
系統(tǒng)等級:進入下載 >windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載
系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win11蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,windows11下載 蘿卜家園win11專業(yè)版 X64位 官網(wǎng)正式版可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動對硬件的加速,使得軟件在WINDOWS11系統(tǒng)中運行得更加流暢,加固了系統(tǒng)安全策略,WINDOWS11系統(tǒng)在家用辦公上跑分表現(xiàn)都是非常優(yōu)秀,完美的兼容各種硬件和軟件,運行環(huán)境安全可靠穩(wěn)定。
系統(tǒng)等級:進入下載 >
相關(guān)文章
- 如何解決銳龍2200g死機藍屏
- Win8.1本地搜索為什么無法使用
- Win8.1無線網(wǎng)絡(luò)不穩(wěn)定/掉線怎么辦
- 電腦機箱漏電怎么消除?電腦機箱漏電是哪里的問題?
- 電腦開不了機怎么辦?電腦無法開機怎么解決?
- 硬盤雙擊無法打開的問題該怎么辦
- 風(fēng)行下載速度慢甚至是為0怎么辦?風(fēng)行播放器下載問題及解決方法匯總
- 蘋果回應(yīng)新的iOS惡意軟件YiSpector:已在iOS8.4中解決該問題
- 沒有路由器怎么連無線 160wifi 解決沒有路由器連接無線問題
- 維棠FLV下載視頻失敗問題匯總及解決方法
- Word2016 出現(xiàn)“此功能看似已中斷 并需要修復(fù)”問題解決方案(圖文)
- Cisco管理的35個常見問題及解答
- NanoStudio怎么用?NanoStudio使用方法及常見問題
- IE瀏覽器登錄網(wǎng)上銀行時出現(xiàn)崩潰問題的解決辦法
熱門系統(tǒng)
推薦軟件
推薦應(yīng)用
推薦游戲
熱門文章
常用系統(tǒng)
- 1win11最新娛樂版下載 技術(shù)員聯(lián)盟x64位 ghost系統(tǒng) ISO鏡像 v2023
- 2電腦公司windows7純凈版 ghost x64位 v2022.05 官網(wǎng)鏡像下載
- 3外星人系統(tǒng)Win11穩(wěn)定版系統(tǒng)下載 windows11 64位穩(wěn)定版Ghost V2022
- 4win11一鍵裝機小白版下載 外星人系統(tǒng) x64位純凈版下載 筆記本專用
- 5蘿卜家園Ghost win10 64位中文版專業(yè)版系統(tǒng)下載 windows10純凈專業(yè)版下載
- 6【國慶特別版】番茄花園Windows11高性能專業(yè)版ghost系統(tǒng) ISO鏡像下載
- 7青蘋果系統(tǒng) GHOST WIN7 SP1 X64 專業(yè)優(yōu)化版 V2024
- 8深度技術(shù)ghost win7純凈版最新下載 大神裝機版 ISO鏡像下載
- 9雨林木風(fēng)windows11中文版免激活 ghost鏡像 V2022.04下載