新漏洞增长创纪录Skybox安全研究实验室宣布2021年有20,175个新漏洞,是去年报告的漏洞数量最多的一年。而这些新漏洞只是冰山一角,使该实验室在过去10年中的总数达到166,938个。年复一年,这些漏洞累积起来,意味着巨大的风险,它们将使企业背负堆积如山的网络安全债务。正如美国网络安全和基础设施安全局(CISA)在其最常被利用的漏洞列表中强调的那样,威胁参与者经常利用过去几年公开披露的漏洞。Skybox安全研究实验室的威胁情报分析师RanAbramson表示:“累积的大量漏洞意味着企业不可能修补所有漏洞。为了防止网络安全事件,优先考虑可能造成最大损害的暴露漏洞是关键。然后应用适当的修复选项,包括配置更改或网络分段,以消除风险。”运营技术漏洞的设施同比几乎翻了一番,并使关键系统面临潜在的损害。运营技术系统支持能源、水、交通、环境控制系统和其他重要设备。对这些关键资产的网络攻击可能会造成严重的经济损失,甚至危及公共健康和安全。随着OT和IT网络的融合,威胁参与者越来越多地利用一个环境中的漏洞来攻击另一个环境中的资产。许多OT攻击从IT漏洞开始,然后横向移动以获取对OT设备的访问权限。相反,入侵者可能会使用OT系统作为进入IT网络的跳板,他们可以在其中传递恶意负载、过滤数据、发起勒索软件攻击以及进行其他攻击。越来越多的恶意软件旨在利用IT和OT资源。新利用的漏洞增加了24%随着2021年新漏洞的出现,威胁者立即利用它们。2021年发布的168个漏洞在12个月内被迅速利用,比2020年发布的随后被利用的漏洞数量多出24%。换句话说,威胁行为者和恶意软件开发人员将最近的漏洞作为武器。这会削弱安全团队的力量,并缩短从最初发现漏洞到出现针对该漏洞的主动攻击之间的时间。修复已知漏洞的窗口正在缩小,这意味着主动的漏洞管理方法比以往任何时候都更加重要。新的加密劫持恶意软件程序增加了75%针对已知漏洞的新的加密劫持程序同比增加了75%,勒索软件增加了42%。这两个案例都说明了恶意软件行业如何能够更好地利用新兴商机,为经验丰富的网络犯罪分子和缺乏经验的新手提供一系列工具和服务。网络罪犯利用他们的恶意软件即服务包来瞄准最普遍的漏洞以牟利。2021年最多的恶意软件程序针对Log4Shell、MicrosoftExchangeServer漏洞和PulseConnectServer漏洞。如何使用数据科学预测和预防网络攻击ForresterResearch声称:“首席信息安全官最害怕问公司董事会的问题:‘我们安全吗?’董事会问这个问题是因为他们想知道是否安全领导者正在投资正确的领域并在安全方面进行足够的投资以满足他们对各种问题的承受能力。然而,CISO长期以来一直在努力回答这个问题,并且在过去依赖定性方法,例如序数评分机制和基于主观专家判断和意见的5×5热图。”为了标准化通用风险语言,安全团队需要一个客观的框架来衡量任何给定漏洞对其组织构成的真实风险。这需要使用严格的评分系统,该系统可用于确定修复工作的优先级并分配宝贵的资源最需要它们的地方。这意味着根据四个关键变量计算资产的风险评分:“暴露分析是最重要的,但在传统的风险评分方法中缺失。暴露分析识别可利用的漏洞并将此数据与组织的独特网络配置和安全控制相关联,以确定系统是否可能容易受到网络攻击。”
