2021年业界共检测发布了20175个新漏洞,创下年度新增漏洞数量新高。过去10年业界发布的漏洞总数在2021年累计达到166938个,十年间增长了三倍。
但漏洞增长只是问题的冰山一角。
工控安全失控:OT漏洞增长88%
根据Skybox研究实验室的最新漏洞报告,2021年运营技术(OT)漏洞增加了88%,这些漏洞可用于攻击关键基础设施并使重要系统面临破坏性威胁。OT系统是能源、水、交通、环境控制系统和其他基础设施设备的支撑系统,对OT系统重要资产的攻击可能造成严重的经济损失,甚至危及公共健康和安全。
新增漏洞最多的OT厂商TOP10:
漏洞利用提速,检测响应周期变长
随着2021年新漏洞的涌现,攻击者正在加快漏洞利用的速度。2021年发布的168个漏洞在12个月内被迅速利用——比2020年发布后被利用的漏洞数量多24%。这意味着攻击者和恶意软件开发人员在漏洞武器化方面做得越来越好。
针对已知漏洞的挖矿劫持程序同比增加75%,勒索软件增加了42%。这两个数据都说明恶意软件行业把握“漏洞商机”的能力越来越强。无论是经验丰富的网络犯罪分子还是经验不足的新手,可使用的工具和服务越来越多。
报告中的其他一些亮点数据如下:
2021年数据泄露平均损失为424万美元
企业检测和响应网络攻击的平均时间延长至280天
新冠疫情期间的新技术应用带来的风险增长了25%
零日漏洞翻倍增长
根据Google Project Zero的最新报告,2021年零日漏洞创下新高,全年Google检测并披露了58个零日漏洞,是2020年(25个)的两倍还多。
Google Project Zero安全研究员Maddie Stone表示:“2021年野外零日漏洞的大幅上升是由于对这些漏洞的检测和披露增加,并不意味着零日漏洞的利用增加。”
2015年以来年度野外零日漏洞的检测数量
数据来源:Google Project Zero
在2021年观察到的58个野外零日漏洞中,39个是内存损坏漏洞,可细分为:释放后使用(17)、越界读写(6)、缓冲区溢出(4)和整数溢出(4)漏洞。
按照平台划分,大多数野外零日漏洞来自Chromium(14),其次是Windows(10)、Android(7)、WebKit/Safari(7)、Microsoft Exchange Server(5)、iOS/macOS(5)和IE浏览器(4)。
值得注意的是,14个Chromium零日漏洞中有13个是内存损坏漏洞,其中大部分是释放后使用漏洞。
参考链接:
https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=0
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
