2018年發現漏洞2.2萬個 27%沒有可用補丁
安全公司 Risk Based Security (RBS)報告稱,2018年共披露了22,022個安全漏洞,且該數字在報告發布後還將繼續大幅增長。以去年為例,RBS最初報告稱2017年披露了20,832個漏洞,但計入報告完成後新發現的漏洞,這個數字達到了22,230。
RBS漏洞情報副總裁 Brian Martin 表示,從統計結果看,公司企業今年仍需保持警惕。
曝出的漏洞依然很多,各類軟體都有影響。公司企業無論規模如何,都需對漏洞保持警惕,持續增強漏洞檢測分診過程。
與最近幾年的情況類似,2018年報告的所有安全漏洞中,Web相關漏洞佔據了幾乎半壁江山(47.9%) 。約27.5%是與訪問身份驗證有關的漏洞,3.5%屬於SCADA漏洞——比2017年增長一倍。
輸入驗證漏洞,比如SQL注入錯誤、跨站指令碼、緩衝區溢位和指令注入,再次成為年度漏洞披露主流。2018年裡,超過2/3的漏洞與輸入驗證不足或不恰當有關,表明開發人員仍未解決這一長期霸佔OWASP十大漏洞榜首的安全問題。漏洞獎勵專案貢獻了2018年被披露漏洞中的8%,相比上一年的5.8%略有提升。
2018年披露的所有漏洞中,約33%的嚴重性評分高於7分。其中近1/3有公開的漏洞利用程式,約一半是可遠端利用的。但嚴重性評分在9分到10分的高安全風險軟體漏洞卻連續第三年佔比下降,為13.6%。
箇中緣由可能只是因為研究人員披露了更多低風險漏洞。如果研究人員更多披露跨站指令碼、跨站請求偽造或路徑洩露等風險評分低於9.0分的低風險漏洞,那麼即便高風險漏洞的實際數量有所增長,其佔比也會被低風險漏洞所稀釋。
也有可能某些高風險安全漏洞被有意隱瞞不報——儘管此數量可能非常有限。雖然有些政府確實會留存評分在9.3或10分的零日安全漏洞,但這種有意瞞報的漏洞數量不會太多。
需要指出的是,RBS報告顯示:僅依靠CVE或國家漏洞資料庫(NVD)獲取漏洞資訊的公司企業正錯失大量漏洞。比如說,RBS自己的漏洞資料庫就比NVD多出6,780條漏洞記錄,且其中近46%的漏洞嚴重性評分都在7分或以上。其他安全公司也注意到了相同的問題。2017年,Recorded Future 所做的研究表明,超過75%的漏洞在被NVD收錄之前就在網上公開披露了。
我們聚合漏洞的思維方式和哲學與眾不同,不是等待漏洞被報告,而是主動去查詢漏洞。
讓公司企業備受困擾的是,資料顯示,2018年披露的漏洞中近三成(27.1%)沒有已知或可用補丁。因此,深度防禦模型是公司企業必備。公司企業的防禦目標應該是運用訪問控制列表(ACL)、網路分隔、入侵檢測系統(IDS)和入侵防禦系統(IPS)等技術,令脆弱系統更難以被攻擊者觸及。
RBS報告地址:
https://www.riskbasedsecurity.com/2019/02/more-than-22000-vulnerabilities-disclosed-in-2018/