根据Risk Based
Security的最新报告,今年迄今为止披露的创纪录的10,644个漏洞中有近17%属于高危级别的严重漏洞,企业和个人面临的安全威胁与日俱增。

图片 1

安全公司 Risk Based Security
报告称,2018年共披露了22,022个安全漏洞,且该数字在报告发布后还将继续大幅增长。以去年为例,RBS最初报告称2017年披露了20,832个漏洞,但计入报告完成后新发现的漏洞,这个数字达到了22,230。

图片 2

安全公司 Risk Based Security
新近发布的报告显示,2017年安全漏洞披露数量达创纪录的20,832个。

图片 3

对于那些希望从软件补丁修补中获得喘息的组织来说,目前看起来似乎没有什么缓解的迹象。今天发布的Risk
Based Security的最新安全报告显示,软件中发现的漏洞数量并没有减少的迹象。

该公司的《漏洞数据库速查》( VulnDB QuickView
)报告称,去年披露的漏洞数量环比上升31.0%。美国国家漏洞数据库(NVD)收录的漏洞数量同样增加了。

RBS漏洞情报副总裁 Brian Martin
表示,从统计结果看,公司企业今年仍需保持警惕。曝出的漏洞依然很多,各类软件都有影响。公司企业无论规模如何,都需对漏洞保持警惕,持续增强漏洞检测分诊过程。

在今年1月1日至6月30日期间,业界共发布了10,644个漏洞,超过2017年同期的9,690个漏洞。今年迄今为止的趋势表明,2018年披露的漏洞总数将轻松超过2017年全年的20,832个漏洞,这个数字
比2016年增长了31%。

Risk Based Security
公布的2017年披露漏洞中,7900个并未收录进MITRE的通用漏洞列表(CVE)和NVD,其中44.5%的漏洞在新版通用漏洞评分系统(CVSSv2)中得分处于7.0到10之间,属于高危漏洞。这就给全世界各类组织机构带来了重大风险,因为未收录进CVE和NVD的事实可能会让他们根本没有注意到这些漏洞的存在。

与最近几年的情况类似,2018年报告的所有安全漏洞中,Web相关漏洞占据了几乎半壁江山
。约27.5%是与访问身份验证有关的漏洞,3.5%属于SCADA漏洞——比2017年增长一倍。

今年报告的软件漏洞中约有17%属于严重漏洞,在CVSS评级量表上的严重等级在9.0到10.0之间。不过这个数字相比2017年上半年Risk
Based Security报告中21.1%的严重漏洞占比已经有所下降。

报告称,2017年,39.3%的被披露漏洞CVSSv2得分超过7.0,其中48.5%可被远程利用,31.5%有公开的漏洞利用程序。2017年漏洞中过半数(50.6%)与网站相关,而28.9%的网站相关漏洞是跨站脚本漏洞。

输入验证漏洞,比如SQL注入错误、跨站脚本、缓冲区溢出和指令注入,再次成为年度漏洞披露主流。2018年里,超过2/3的漏洞与输入验证不足或不恰当有关,表明开发人员仍未解决这一长期霸占OWASP十大漏洞榜首的安全问题。漏洞奖励项目贡献了2018年被披露漏洞中的8%,相比上一年的5.8%略有提升。

2018年报告发现的漏洞中,46.3%与web相关,接近一半属于远程利用漏洞。今年迄今为止风险安全数据库中近三分之一的漏洞都属于公开漏洞,但有73%的公开漏洞已有解决方案。

CVSS得分在9.0到10.0之间超高危漏洞的十大出品商包括谷歌(503个漏洞)、SUSE(301)、Canonical(285)、红帽(274)、Silent
Circle
子公司SGP(257)、Adobe(256)、Mozilla(246)、三星(228)、Oracle(201)和施乐(198)。

2018年披露的所有漏洞中,约33%的严重性评分高于7分。其中近1/3有公开的漏洞利用程序,约一半是可远程利用的。但严重性评分在9分到10分的高安全风险软件漏洞却连续第三年占比下降,为13.6%。

Risk Based Security漏洞情报副总裁Brian
Martin表示,大多数漏洞都从用户或攻击者的输入着手,而软件对恶意输入往往缺乏免疫能力。“我们将它们归类为影响软件完整性的输入操作问题,”他指出。

带CVSSv2评分上9.0的漏洞最多的十大产品包括谷歌)Pixel/Nexus设备(354个漏洞)、Ubuntu
(285)、SilentOS (257)、红帽 Linux (253)、Firefox (246)、SUSE Linux
企业级桌面系统 (226)、三星移动设备 (226)、SUSE Linux 企业级服务器系统
(197)、OpenSUSE Leap (196)和 FreeFlow Print Server (191)。

个中缘由可能只是因为研究人员披露了更多低风险漏洞。如果研究人员更多披露跨站脚本、跨站请求伪造或路径泄露等风险评分低于9.0分的低风险漏洞,那么即便高风险漏洞的实际数量有所增长,其占比也会被低风险漏洞所稀释。

并非所有漏洞都收录进CVE和NVD数据库

去年,至少44.8% (9,335) 的漏洞是与厂商协同披露的,只有18.6%
(3,875)不是协同披露。经由厂商或第三方漏洞奖励项目曝光的漏洞仅占5.9%。

也有可能某些高风险安全漏洞被有意隐瞒不报——尽管此数量可能非常有限。虽然有些政府确实会留存评分在9.3或10分的零日安全漏洞,但这种有意瞒报的漏洞数量不会太多。

值得注意的是,2018年上半年,Risk Based
Security的漏洞数据库中有超过3,275个漏洞并未在MITRE的CVE和国家漏洞数据库(NVD)中发布。其中,超过23%的漏洞的CVSS评分在9.0到10.0之间。

虽然大部分被披露漏洞(72.8%)都推出了更新或某种形式的补丁,但23.2%的漏洞目前没有可用解决方案。不过,去年报告的漏洞中有443个是没有任何风险的不准确披露,没有必要做任何缓解。

需要指出的是,RBS报告显示:仅依靠CVE或国家漏洞数据库获取漏洞信息的公司企业正错失大量漏洞。比如说,RBS自己的漏洞数据库就比NVD多出6,780条漏洞记录,且其中近46%的漏洞严重性评分都在7分或以上。其他安全公司也注意到了相同的问题。2017年,Recorded
Future 所做的研究表明,超过75%的漏洞在被NVD收录之前就在网上公开披露了。

换句话说,纯粹依赖CVS /
NVD漏洞数据的企业和组织可能完全不知道自己至少漏掉了超过750个严重漏洞。

报告还揭示,2017年报告的漏洞中存在于SCADA产品中的只有1.7%,比2016年的2.8%减少了不少。52.2%的SCADA漏洞是可远程利用的,73.5%对产品完整性有影响,61.3%与不恰当的输入验证有关。

让公司企业备受困扰的是,数据显示,2018年披露的漏洞中近三成没有已知或可用补丁。因此,深度防御模型是公司企业必备。公司企业的防御目标应该是运用访问控制列表、网络分隔、入侵检测系统和入侵防御系统等技术,令脆弱系统更难以被攻击者触及。

来自:IT经理网

Risk Based Security
漏洞情报副总裁布莱恩·马丁称:“跟踪并分类漏洞补丁的机构在2017年并不轻松,因为这是漏洞披露创纪录的一年。我们持续见证被黑企业和数据泄露事件的增多,数字资产防护工作的难度和重要性屡创新高。如果你的漏洞情报解决方案没有覆盖2017年披露的2万多个漏洞,那你的公司必然面临比以往更大的风险。”

完整报告地址:%20Year%20End%20Vulnerability%20QuickView%20Report.pdf

声明:本网站发布的内容以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户
RBS网络安全报告:2017年全球漏洞披露数量超20000个