漏洞是暴露于攻击可能性的状态。在网络安全的背景下,漏洞是可以使您的系统面临恶意软件感染、DDoS 攻击、注入和勒索软件攻击等威胁的软件错误。在这篇文章中,我们将介绍 2023 年的前 5 个漏洞、事实和 30 个重要的网络安全漏洞统计数据,以描绘出当前全球网络威胁格局。
2023 年 5 大网络安全漏洞统计数据
2022 年出现了相当多的严重漏洞,而 2023 年则以基于 Chromium 的浏览器中的严重漏洞开始。在 Follina 和 Log4shell 之间,许多漏洞使安全管理员和企业主受到严重关注。在我们进入统计数据之前,让我们快速浏览一下 2022 年以来一些最广为人知的漏洞。
Log4Shell (CVE-2021-44228)
2021 年在 Java 应用程序的 log4j 日志库中发现了一个远程代码执行漏洞。这使得攻击者可以通过发送特制的 HTTP 请求在受影响的设备上运行任意代码。此漏洞危及超过 30 亿台设备。
2. Chrome 中的符号链接跟随漏洞 (CVE-2022-3656)
这个漏洞是最近才发布的。在基于 Chromium 的浏览器中缺乏输入验证允许攻击者获得对数据的未授权访问。该漏洞危及 25 亿 Chrome 用户。
3. Microsoft Follina MSDT 错误 (CVE-2022-30190)
此漏洞使攻击者无需升级权限即可查看、修改和删除数据。它严重危及组织的数据资产。
4. Spring4Shell (CVE-2022-22965)
Spring 是 Java 应用程序的重要开源框架。其中发现一个远程代码执行漏洞,可能影响所有版本的Spring。尽管名称可能另有所指,但 Spring4shell 与 log4Shell 无关。
5. Adobe Commerce RCE (CVE-2022-24086)
2022 年 2 月发现了一个影响 Adobe Commerce 和 Magento 开源软件的严重漏洞。它可能导致在易受攻击的系统上执行任意代码。
2023 年 30 个重要的网络安全漏洞统计数据
漏洞和未能及时修补
- 2022 年国家漏洞数据库有 206059 个条目。
- 仅 2022 年第一季度就列出了8,051 个漏洞。
国家漏洞数据库是美国国土安全部的一部分。它的任务是分析 CVE 列表中发布的每个 CVE。CVE 是指常见的漏洞暴露。每当安全研究人员或组织发现新漏洞时,他们都会将其添加到 MITRE Corporation 维护的 CVE 列表中。该漏洞被分配了一个 CVE ID,以便于识别和防范该漏洞。
- 80% 的漏洞是在 CVE 发布之前发布的。漏洞利用发布与相应 CVE 之间的平均间隔为 23 天。
这意味着在发现特定漏洞后,黑客在组织的安全管理员甚至没有意识到该漏洞的存在之前就抢先一步。事实上,补丁发布和补丁部署之间的时间损失也会给组织带来很多问题。
- 2021 年,所有攻击中有 18%是通过 2013 年或更早时间列出的漏洞发动的。
- 四分之三的攻击是通过 2017 年或之前暴露的漏洞发起的
- 一项研究表明,84% 的公司存在高风险漏洞,其中一半可以通过简单的软件更新来消除。
- 60% 的数据泄露是由于未能应用可用补丁造成的。
这些统计数据表明,强大的安全态势依赖于组织在公司层面和技术层面的一般安全意识。这表明严重缺乏漏洞管理和整体安全态势管理。
漏洞的检测和严重性
- 世界经济论坛 2020 年的一份报告承认,美国的漏洞检测率低至 0.05%。
- 43% 的网络攻击针对小型企业,而只有 14% 的企业准备自卫。
- 员工人数少于 100 人的公司具有最少的严重或高严重性漏洞。
- 拥有超过 10000 名员工的公司拥有最多的严重漏洞。
- Web 应用程序中4.6% 的漏洞是严重的,而 4.4% 的漏洞具有高严重性。
- 当涉及到处理支付卡数据的应用程序时,严重漏洞的存在率增加到 8%。
这表明遵守 PCI-DSS 法规对于处理或存储支付卡信息的公司的重要性。有趣的是,您可以将应用程序中漏洞的存在与其年龄联系起来。
按组织年龄划分的安全状况
- 根据 Veracode 的一项研究,80% 的公司在初始扫描后的前 1.5 年内没有发现新缺陷。
这段时间过后,漏洞数量开始攀升。较旧的软件中漏洞修复的频率较低。
- 将近 70% 的应用程序在投入生产 5 年后至少包含一个漏洞。
- 2022 年扫描的软件中有 19% 存在高或严重漏洞。
我们已经了解到 Web 应用程序中存在漏洞。是时候了解不同类型的漏洞了。
是什么引起了袭击
- 在所有网络攻击中,57% 归因于网络钓鱼和社会工程学
- 受损或被盗设备占攻击的 33%
- 30% 的攻击是凭据盗窃造成的。
- 损坏的访问控制在 2021 年 OWASP 十大漏洞列表中排名第一。
- 它的发生率为 3.81%,映射到此问题的 34 个 CWE 的发生频率高于任何其他漏洞。
- 注入的发生率为 3.37%,安全配置错误的发生率为 4.5%。
- 研究表明,零日恶意软件占 2021 年最后一个季度所有威胁的 66%。
云中的漏洞
- 2020 年 1 月,安全研究人员在 Microsoft Azure Infrastructure 中发现了一个 CVSS 评分为 10.0 的严重漏洞。
这一发现反驳了云基础设施安全无可指责的观点。从那时起,云安全和云漏洞一直受到利益相关者的关注。
- 自 2020 年以来,公共部门的云安全问题增加了 205%。
查找和识别漏洞只是网络安全工作的一部分。需要类似努力的是确定漏洞的优先级并管理修复过程。
漏洞的优先级排序和修复
- 47% 的 DevSecOps 专业人士认为,未能确定漏洞的优先级(即首先修复哪个漏洞)会极大地导致漏洞积压。
- 团队平均每周花费 130 小时来监控和跟踪威胁。
- 检测、优先级排序和修复一个漏洞 需要20 多分钟的手动工作。
修复漏洞所需的时间因行业而异。例如,
- 公共行政部门的 MTTR(平均恢复时间)在 2022 年为 92 天。而医疗机构为 44 天。
- 2022 年的平均 MTTR 为 57.5 天,比 2021 年的 60.3 天略有改善。
2022 年是充满有趣漏洞的一年,例如 Log4Shell 和 Springshell,它们造成了严重破坏。也是在这一年见证了大流行之后网络安全标准不佳的稳步纠正。我们看到了快速修补的漏洞以及自 1999 年以来一直存在的漏洞 (CVE-1999-0517)。总的来说,对于任何对网络安全领域的潮起潮落感兴趣的人来说,这是一个好年头。网络安全漏洞统计数据只是该动议的反映。
