Bugcrowd2022年版“优先一号报告”涵盖了去年的各种安全趋势。报告称,其漏洞测试平台向金融服务企业提交的P1(PriorityOne:第一优先级)漏洞报告数量去年增长了185%。Bugcrowd表示,P1报告中涉及的漏洞可能导致权限提升(未经授权提升到管理员权限)或远程代码执行、金融盗窃等。总体而言,到2021年,P1级漏洞将增加186%。Bugcrowd创始人CaseyEllis补充说,全球向远程工作的转变正在推动组织将更多资产放在网上。为了保护这些资产,对道德黑客的投资有所增加。Bugcrowd发现去年提交的所有有效漏洞报告中有24%涉及P1和P2威胁。P2威胁是影响软件安全及其支持的业务流程的漏洞。埃利斯指出,民族国家黑客组织也变得更加厚颜无耻,不再那么在意隐身性,并将在2021年更频繁地利用已知漏洞发动攻击。“值得注意的是,由于勒索软件经济的兴起,此类威胁也变得大众化了以及黑客国家队和网络犯罪团伙之间的界限不断模糊。所有这一切,再加上威胁面和攻击收益的增加,我们预计到2022年情况会进一步恶化。”即使是P3级别的漏洞,这种影响多个用户并且可以通过很少的用户交互来触发的漏洞,在2021年也将变得脆弱。同比增长。漏洞报告的总体数量增加了82%,为这些漏洞报告支付的费用增加了106%。软件行业用于错误测试的支出也增长了73%。与2020年相比,2021年前三季度政府部门收到的漏洞报告数量同比增长1000%。Bugcrowd还发现跨站点脚本是最常见的漏洞类型,而敏感数据泄露在前10名中从第九位上升到第三位。Bugcrowd解释说:“2021年顶级漏洞排名发生了一些变化。跨站点脚本已经取代访问控制破坏成为最常见的漏洞类型。应用程序快速部署的趋势。”“由于业界越来越重视通过扫描发现漏洞,涉及内部资产的敏感数据曝光从去年的第九位跃升六位至第三位。这是疫情引发的快速数字化攻击面扩大的直接后果并增加了转型过程中的复杂性。十大常见漏洞类型列表的变化体现了漏洞类别的自然生命周期,也反映了建设者与破坏者之间“猫鼠游戏”的本质:公测白帽子努力发现新漏洞在赏金的激励下。最终由自动化工具解决的普遍存在的漏洞(导致较低的激励),然后推动新型漏洞的出现,这些漏洞受到热切追捧。《Bugcrowd2022版》优先报告下载页面:https://www.bugcrowd.com/resources/reports/priority-one-report/
