新漏洞數(shù)量的創(chuàng)紀(jì)錄增長(zhǎng)

Skybox安全研究實(shí)驗(yàn)室在2021年公布了20175個(gè)新漏洞，去年也是報(bào)告漏洞數(shù)量最多的一年。而這些新漏洞只是冰山一角，該實(shí)驗(yàn)室在過去10年發(fā)布的漏洞總數(shù)達(dá)到166938個(gè)。

這些漏洞年復(fù)一年地累積起來，這意味著巨大的風(fēng)險(xiǎn)，它們將讓企業(yè)在堆積如山的網(wǎng)絡(luò)安全債務(wù)中陷入困境。正如美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在其經(jīng)常利用的頂級(jí)漏洞列表中所強(qiáng)調(diào)的那樣，威脅行為者經(jīng)常利用過去幾年公開披露的漏洞進(jìn)行攻擊。

Skybox安全研究實(shí)驗(yàn)室威脅情報(bào)分析師Ran Abramson說，“大量累積的漏洞意味著企業(yè)不可能修補(bǔ)所有這些漏洞。為了防止發(fā)生網(wǎng)絡(luò)安全事件，對(duì)可能導(dǎo)致最嚴(yán)重破壞的暴露漏洞進(jìn)行優(yōu)先排序至關(guān)重要。然后應(yīng)用適當(dāng)?shù)难a(bǔ)救選項(xiàng)，包括配置更改或網(wǎng)絡(luò)分段，以消除風(fēng)險(xiǎn)?！?/p>

運(yùn)營(yíng)技術(shù)漏洞同比增長(zhǎng)近一倍

運(yùn)營(yíng)技術(shù)(OT)漏洞在2021年增加了88%，這些漏洞用于攻擊關(guān)鍵基礎(chǔ)設(shè)施，并使重要系統(tǒng)面臨潛在的破壞。運(yùn)營(yíng)技術(shù)系統(tǒng)支持能源、水、交通、環(huán)境控制系統(tǒng)和其他基本設(shè)備。對(duì)這些重要資產(chǎn)的網(wǎng)絡(luò)攻擊可能造成嚴(yán)重的經(jīng)濟(jì)損失，甚至危及公共健康和安全。

隨著OT和IT網(wǎng)絡(luò)的融合，威脅參與者越來越多地利用一種環(huán)境中的漏洞來攻擊另一種環(huán)境中的資產(chǎn)。許多OT攻擊都是從IT漏洞開始的，然后是橫向移動(dòng)以訪問OT設(shè)備。相反，入侵者可能會(huì)使用OT系統(tǒng)作為IT網(wǎng)絡(luò)的跳板，在那里他們可以傳遞惡意有效載荷、過濾數(shù)據(jù)、發(fā)起勒索軟件攻擊，并進(jìn)行其他攻擊。惡意軟件越來越多地被設(shè)計(jì)為利用IT和OT資源。

被利用的新漏洞增加了24%

隨著2021年新漏洞的出現(xiàn)，威脅行為者立即利用它們。2021年發(fā)布的168個(gè)漏洞在12個(gè)月內(nèi)被迅速利用，這比2020年發(fā)布并隨后被利用的漏洞數(shù)量多出24%。換句話說，威脅行為者和惡意軟件開發(fā)人員將最近出現(xiàn)的漏洞武器化。

這讓安全團(tuán)隊(duì)陷入困境，縮短了從最初發(fā)現(xiàn)漏洞到出現(xiàn)針對(duì)漏洞的主動(dòng)攻擊之間的時(shí)間。修復(fù)已知漏洞的窗口越來越小，這意味著主動(dòng)性漏洞管理方法比以往任何時(shí)候都更為重要。

新的加密劫持惡意軟件程序增加了75%

針對(duì)已知漏洞的新加密劫持程序同比增長(zhǎng)75%，勒索軟件增長(zhǎng)了42%。這兩個(gè)案例都說明了惡意軟件行業(yè)如何更好地利用新興的商業(yè)機(jī)會(huì)，為經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)罪犯和缺乏經(jīng)驗(yàn)的新手提供一系列工具和服務(wù)。

網(wǎng)絡(luò)犯罪分子以獲利為目標(biāo)，他們的惡意軟件即服務(wù)包利用了最普遍的漏洞。2021年數(shù)量最多的惡意軟件程序針對(duì)Log4Shell、Microsoft Exchange Server漏洞和Pulse Connect Server漏洞。

如何利用數(shù)據(jù)科學(xué)預(yù)測(cè)和預(yù)防網(wǎng)絡(luò)攻擊

調(diào)研機(jī)構(gòu)Forrester Research公司聲稱：“首席信息安全官最害怕企業(yè)董事會(huì)提出一個(gè)問題：‘我們安全嗎?’，董事會(huì)提出這個(gè)問題，是因?yàn)樗麄兿胫腊踩I(lǐng)導(dǎo)者是否在正確地領(lǐng)域進(jìn)行了投資，并在安全方面進(jìn)行了足夠的投資，以滿足他們對(duì)各種問題的承受能力。然而，首席信息安全官長(zhǎng)期以來致力于回答這個(gè)問題，過去一直依賴定性方法，例如基于主觀專家判斷和意見的序數(shù)評(píng)分機(jī)制和5×5熱圖?！?/p>

為了通用風(fēng)險(xiǎn)語言實(shí)現(xiàn)標(biāo)準(zhǔn)化，安全團(tuán)隊(duì)需要一個(gè)客觀的框架來衡量任何給定漏洞對(duì)其企業(yè)構(gòu)成的實(shí)際風(fēng)險(xiǎn)。這需要使用嚴(yán)格的評(píng)分系統(tǒng)，該系統(tǒng)可用于確定補(bǔ)救工作的優(yōu)先級(jí)，并將寶貴的資源分配到最需要的地方。這意味著根據(jù)四個(gè)關(guān)鍵變量計(jì)算資產(chǎn)的風(fēng)險(xiǎn)評(píng)分：

• 測(cè)量的通用漏洞評(píng)分系統(tǒng)(cvss)嚴(yán)重性
• 被利用的可能性
• 基于安全控制和配置的暴露級(jí)別
• 資產(chǎn)的重要性

Abramson補(bǔ)充說，“暴露分析是最重要的，但傳統(tǒng)的風(fēng)險(xiǎn)評(píng)分方法卻缺少這一點(diǎn)。暴露分析識(shí)別可利用的漏洞，并將這些數(shù)據(jù)與企業(yè)獨(dú)特的網(wǎng)絡(luò)配置和安全控制相關(guān)聯(lián)，以確定系統(tǒng)是否可能受到網(wǎng)絡(luò)攻擊。”