2020年,高危漏洞发现量增长65%。快来学习网络安全,跟上不断变化的威胁形势。高危漏洞发现过去12个月,Bugcrowd平台提交的漏洞数量较往年增加50%,优先级1(P1)增加65%,涉及最关键的安全漏洞。该报告全面介绍了COVID-19如何重新定义整个行业的网络安全实践。世界卫生组织报告说,在疫情爆发后不久,针对其员工的攻击和针对公众的电子邮件诈骗增加了500%,这主要是由于“远程优先”工作世界中的敲诈勒索。软件和新的攻击向量增加了七倍。软件行业从众包安全中看到了对安全的迫切需求由于疫情的蔓延,深受毒害的软件行业从各个人群中看到了对安全的迫切需求。与2019年全年相比,2020年前10个月提交的漏洞数量增加了24%。总体而言,计算机软件相关行业的公司在提交安全需求方面的支出几乎是其他行业的五倍。最值得注意的是,软件行业的P1申请在2020年几乎增加了两倍。“我们的第一份优先报告的明确结果表明,所有领先的组织都将众包安全作为其安全战略的核心要素,”Bugcrowd首席执行官AshishGupta说。“对比过去几年,我们看到由于快速转型和COVID-19大流行,威胁增加。漏洞提交数量增加,关键漏洞数量也激增。网络安全的需求是增长迅速。稳定增长约15-20%。”API和Android漏洞呈上升趋势该报告发现,在2020年提交的前10大漏洞中,有8个出现在2019年的名单上。这说明管理感知风险对大多数组织来说仍然是一个挑战。去年向所有部门提交的申请都有所增加。最值得注意的是,API和IoT漏洞翻了一番,Android目标中发现的漏洞增加了两倍多。2020年对远程工作的高度关注以及IoT设备采用率的随后增长使得IoT设备对网络犯罪分子更具吸引力。人为错误是大多数漏洞的原因2020年提交最多的漏洞来自损坏的访问控制,而第二多的漏洞与跨站点脚本(XSS)有关。损坏的访问控制漏洞是由人为错误引起的,通常可以通过正确使用具有内置XSS预防功能的代码框架来预防。因此,研究强调了一个事实,即人为错误是安全风险的主要来源。金融服务行业增加了对关键漏洞的支出从2020年第一季度到第二季度,金融公司对P1漏洞的支出翻了一番。大流行导致的银行分支机构关闭和其他业务流程变化迫使金融服务行业比大多数垂直行业更快地加速数字化转型。这导致攻击面扩大,为此,石油和天然气行业有强烈的动机吸引人群来识别新的风险。这导致2020年1月至10月期间在金融服务领域提交的申请比2019年全年都多。对于客户而言,速度是一种竞争优势。在几乎所有行业中,有道德的安全研究人员都会在一周或更短的时间内发现漏洞,参与漏洞披露、攻击面、漏洞赏金或渗透测试计划。在消费者服务和媒体等行业,研究人员通常会在不到一天的时间内发现漏洞。虽然研究人员通常需要几天时间才能找到政府和汽车行业的漏洞,但这些漏洞的风险通常要高得多。Gupta补充说:“全面发现的速度表明,众包安全可以为希望快速推进数字化转型工作并将新基础设施引入网络的安全团队和公司提供巨大价值。”“竞争对手也在效仿这种速度,拥有一个众包安全平台就显得尤为重要,这样有安全需求的公司就可以利用这些专门团队的专业知识和敏捷性来确保其组织的安全。”
