2020年是網(wǎng)絡(luò)安全應(yīng)用使用量爆表、甚至是創(chuàng)紀(jì)錄的一年，所有行業(yè)的企業(yè)都在攻擊量暴增的嚴(yán)峻形勢(shì)下投入大量精力來(lái)研究網(wǎng)絡(luò)安全，以跟上不斷變化的威脅格局。

高危漏洞的發(fā)現(xiàn)

在過(guò)去的12個(gè)月里，Bugcrowd平臺(tái)上提交的各類(lèi)漏洞較往年激增了50%，其中優(yōu)先級(jí)1 (P1)增加了65%，其中涉及到是最關(guān)鍵的安全漏洞。

該報(bào)告對(duì)COVID-19如何重新定義整個(gè)行業(yè)的網(wǎng)絡(luò)安全實(shí)踐提供了全面的看法。世界衛(wèi)生組織(World Health Organization)報(bào)告稱(chēng)，

在疫情爆發(fā)后不久，針對(duì)其員工的攻擊和針對(duì)公眾的電子郵件詐騙增加了500%，主要原因是在一個(gè)“遠(yuǎn)程第一”的工作世界中，勒索軟件和新的攻擊載體增加了7倍。

軟件行業(yè)看到了眾包安全對(duì)安全的迫切需求

由于疫情的傳播，深受荼毒的軟件行業(yè)看到了各類(lèi)人群對(duì)安全的迫切需求。與2019年全年相比，2020的前10個(gè)月提交的漏洞增加了24%。

從整體來(lái)看，電腦軟件相關(guān)行業(yè)公司在提交安全需求時(shí)所花費(fèi)的金額幾乎是其他任何行業(yè)的5倍。最值得注意的是，到2020年，軟件行業(yè)提交的P1文件幾乎激增了三倍。

Bugcrowd首席執(zhí)行官阿希什·古普塔(Ashish Gupta)表示:“我們的第一優(yōu)先報(bào)告的清楚發(fā)現(xiàn)并表明，所有領(lǐng)先組織都將源于眾包安全作為安全戰(zhàn)略的核心元素。”

[[360804]]

“比較過(guò)去幾年數(shù)據(jù)，我們看到由于快速化轉(zhuǎn)型和COVID-19大流行造成的威脅增加。漏洞提交數(shù)量增加，關(guān)鍵漏洞數(shù)量也隨之激增，網(wǎng)絡(luò)安全需求正在迅速增長(zhǎng)，網(wǎng)絡(luò)安全總支出平均每季度穩(wěn)步增長(zhǎng)約15-20%。”

API和Android漏洞不斷增加

該報(bào)告發(fā)現(xiàn)，2020年提交的前10名漏洞，其中8個(gè)出現(xiàn)在2019年的名單上。這說(shuō)明管理已知曉的風(fēng)險(xiǎn)對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)仍然是一個(gè)挑戰(zhàn)。

去年，向所有行業(yè)提交的申請(qǐng)都有所增加。最值得注意的是，API和物聯(lián)網(wǎng)漏洞翻了一番，在A(yíng)ndroid目標(biāo)中發(fā)現(xiàn)的漏洞翻了三倍多。

對(duì)遠(yuǎn)程工作的高度關(guān)注以及2020年物聯(lián)網(wǎng)設(shè)備采用的后續(xù)增長(zhǎng)，使得物聯(lián)網(wǎng)設(shè)備對(duì)網(wǎng)絡(luò)罪犯更具吸引力。

人為錯(cuò)誤是大多數(shù)漏洞原因

2020年提交的最多的漏洞來(lái)自中斷的訪(fǎng)問(wèn)控制，而第二多的漏洞與跨站腳本攻擊(XSS)有關(guān)。

被破壞的訪(fǎng)問(wèn)控制漏洞是由人為錯(cuò)誤造成的，通?？梢酝ㄟ^(guò)正確使用內(nèi)置了XSS預(yù)防功能的代碼框架來(lái)防止。結(jié)果，經(jīng)研究強(qiáng)調(diào)了一個(gè)事實(shí)，人為失誤是安全風(fēng)險(xiǎn)的主要來(lái)源。

金融服務(wù)業(yè)加大對(duì)關(guān)鍵漏洞的投入

從2020年第一季度到第二季度，金融企業(yè)對(duì)P1漏洞的支出翻了一番。大流行導(dǎo)致的銀行分行關(guān)閉和其他業(yè)務(wù)流程變化，迫使金融服務(wù)行業(yè)以比大多數(shù)垂直行業(yè)更快的速度加速數(shù)字化轉(zhuǎn)型。

這導(dǎo)致了攻擊面的擴(kuò)大，為了應(yīng)對(duì)這一情況，油氣行業(yè)采取了吸引人群的強(qiáng)烈動(dòng)機(jī)，以識(shí)別新的風(fēng)險(xiǎn)。這導(dǎo)致金融服務(wù)部門(mén)在2020年1月至10月提交的申請(qǐng)比2019年全年提交的都多。

對(duì)客戶(hù)來(lái)說(shuō)，速度是一種競(jìng)爭(zhēng)優(yōu)勢(shì)。在幾乎所有的行業(yè)，道德安全研究人員將在一周或更短的時(shí)間內(nèi)發(fā)現(xiàn)漏洞，參與漏洞泄露、攻擊表面、漏洞懸賞或鋼筆測(cè)試程序。

在消費(fèi)者服務(wù)和媒體等行業(yè)，研究人員往往在不到一天的時(shí)間里就能發(fā)現(xiàn)漏洞。雖然研究人員通常需要幾天的時(shí)間才能找到政府和汽車(chē)行業(yè)的漏洞，但這些漏洞的風(fēng)險(xiǎn)通常要高得多。

Gupta補(bǔ)充說(shuō):“全面發(fā)現(xiàn)的速度表明，眾包安全可以為安全團(tuán)隊(duì)和公司提供巨大的價(jià)值，這些團(tuán)隊(duì)和公司希望快速推進(jìn)數(shù)字轉(zhuǎn)型努力，并將新的基礎(chǔ)設(shè)施引入網(wǎng)絡(luò)。”

“競(jìng)爭(zhēng)對(duì)手也在效仿這種速度，因此，擁有一個(gè)眾包的安全平臺(tái)就顯得更加重要，這樣一來(lái)，有安全需求的公司就可以利用這些專(zhuān)業(yè)團(tuán)隊(duì)的專(zhuān)業(yè)知識(shí)、敏捷性，來(lái)確保組織安全。”