2月21日讯 近日,根据美国国家标准与技术研究所收集的关于常见漏洞(CVE)的数据分析,2020年全球的安全漏洞报告比以往任何一年都多。
托管安全服务提供商Redscan的报告显示,2020年报告了18,103个漏洞,其中大多数被列为高度严重级别,占比达57.1%。实际上,2020年披露的高严重性和严重漏洞数量超过了2010年披露的漏洞总数。
报告中的的另一关键发现是不需要任何用户交互的安全漏洞明显激增。在2020年美国国家标准与技术研究所报告的所有CVE中,这类安全漏洞占比为68%。
“安全专业人士应该担心的是,在2020年记录的漏洞中,有三分之二以上不需要任何形式的用户交互。利用这些漏洞的攻击者甚至不需要其目标就可以在不知不觉中执行操作,例如单击电子邮件中的恶意链接。”Redscan警告说。
此类漏洞有多个突出的例子,包括一个索引为CVE-2020-5902的关键远程代码执行漏洞,该漏洞影响了F5 Networks的BIG-IP多用途网络设备。
此外,不需要任何用户权限的安全漏洞比例从2016年的71%下降到2020年的58%,而与此同时,需要高级权限的漏洞数量却一直在增加。这意味着网络犯罪分子会更加“努力”,他们在针对高价值商标时将诉诸经过时间考验的传统网络攻击,例如网络钓鱼。
Redscan解释说:“具有较高特权的用户,比如系统管理员,是网络犯罪分子的重点攻击目标,因为他们可以为攻击者打开更多的大门。”
此外,该报告还概述了用户需要警惕的除严重漏洞之外的其他方面的漏洞。调查发现约4000个漏洞符合该条件,这些CVE具有较低的攻击复杂度,不需要任何特权或用户交互,并且具有较高的机密性。
Redscan总结得出结论,并强调指出,尽管在大多数情况下危急和严重程度很高的漏洞应该放在首位,但安全团队“不应忽视较低级别的漏洞”。
“在分析漏洞带来的潜在风险时,组织必须考虑的不仅仅是其严重性评分。事实上,许多CVE从来没有或很少被利用,因为它们太复杂或需要攻击者获得高级特权。
然而,低估似乎是低风险的漏洞可能会使组织容易陷入“连锁”状态,在这种情况下,攻击者从一个漏洞转移到另一个漏洞,并在越来越关键的阶段逐渐获得访问权限。”Redscan威胁情报主管George Glass表示。
声明:本文来自E安全,版权归作者所有。
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/231.html