新漏洞數(shù)量的創(chuàng)紀錄增長

Skybox安全研究實驗室在2021年公布了20175個新漏洞，去年也是報告漏洞數(shù)量最多的一年。而這些新漏洞只是冰山一角，該實驗室在過去10年發(fā)布的漏洞總數(shù)達到166938個。

這些漏洞年復(fù)一年地累積起來，這意味著巨大的風險，它們將讓企業(yè)在堆積如山的網(wǎng)絡(luò)安全債務(wù)中陷入困境。正如美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在其經(jīng)常利用的頂級漏洞列表中所強調(diào)的那樣，威脅行為者經(jīng)常利用過去幾年公開披露的漏洞進行攻擊。

Skybox安全研究實驗室威脅情報分析師Ran Abramson說，“大量累積的漏洞意味著企業(yè)不可能修補所有這些漏洞。為了防止發(fā)生網(wǎng)絡(luò)安全事件，對可能導(dǎo)致最嚴重破壞的暴露漏洞進行優(yōu)先排序至關(guān)重要。然后應(yīng)用適當?shù)难a救選項，包括配置更改或網(wǎng)絡(luò)分段，以消除風險?！?/p>

運營技術(shù)漏洞同比增長近一倍

運營技術(shù)(OT)漏洞在2021年增加了88%，這些漏洞用于攻擊關(guān)鍵基礎(chǔ)設(shè)施，并使重要系統(tǒng)面臨潛在的破壞。運營技術(shù)系統(tǒng)支持能源、水、交通、環(huán)境控制系統(tǒng)和其他基本設(shè)備。對這些重要資產(chǎn)的網(wǎng)絡(luò)攻擊可能造成嚴重的經(jīng)濟損失，甚至危及公共健康和安全。

隨著OT和IT網(wǎng)絡(luò)的融合，威脅參與者越來越多地利用一種環(huán)境中的漏洞來攻擊另一種環(huán)境中的資產(chǎn)。許多OT攻擊都是從IT漏洞開始的，然后是橫向移動以訪問OT設(shè)備。相反，入侵者可能會使用OT系統(tǒng)作為IT網(wǎng)絡(luò)的跳板，在那里他們可以傳遞惡意有效載荷、過濾數(shù)據(jù)、發(fā)起勒索軟件攻擊，并進行其他攻擊。惡意軟件越來越多地被設(shè)計為利用IT和OT資源。

被利用的新漏洞增加了24%

隨著2021年新漏洞的出現(xiàn)，威脅行為者立即利用它們。2021年發(fā)布的168個漏洞在12個月內(nèi)被迅速利用，這比2020年發(fā)布并隨后被利用的漏洞數(shù)量多出24%。換句話說，威脅行為者和惡意軟件開發(fā)人員將最近出現(xiàn)的漏洞武器化。

這讓安全團隊陷入困境，縮短了從最初發(fā)現(xiàn)漏洞到出現(xiàn)針對漏洞的主動攻擊之間的時間。修復(fù)已知漏洞的窗口越來越小，這意味著主動性漏洞管理方法比以往任何時候都更為重要。

新的加密劫持惡意軟件程序增加了75%

針對已知漏洞的新加密劫持程序同比增長75%，勒索軟件增長了42%。這兩個案例都說明了惡意軟件行業(yè)如何更好地利用新興的商業(yè)機會，為經(jīng)驗豐富的網(wǎng)絡(luò)罪犯和缺乏經(jīng)驗的新手提供一系列工具和服務(wù)。

網(wǎng)絡(luò)犯罪分子以獲利為目標，他們的惡意軟件即服務(wù)包利用了最普遍的漏洞。2021年數(shù)量最多的惡意軟件程序針對Log4Shell、Microsoft Exchange Server漏洞和Pulse Connect Server漏洞。

如何利用數(shù)據(jù)科學(xué)預(yù)測和預(yù)防網(wǎng)絡(luò)攻擊

調(diào)研機構(gòu)Forrester Research公司聲稱：“首席信息安全官最害怕企業(yè)董事會提出一個問題：‘我們安全嗎?’，董事會提出這個問題，是因為他們想知道安全領(lǐng)導(dǎo)者是否在正確地領(lǐng)域進行了投資，并在安全方面進行了足夠的投資，以滿足他們對各種問題的承受能力。然而，首席信息安全官長期以來致力于回答這個問題，過去一直依賴定性方法，例如基于主觀專家判斷和意見的序數(shù)評分機制和5×5熱圖。”

為了通用風險語言實現(xiàn)標準化，安全團隊需要一個客觀的框架來衡量任何給定漏洞對其企業(yè)構(gòu)成的實際風險。這需要使用嚴格的評分系統(tǒng)，該系統(tǒng)可用于確定補救工作的優(yōu)先級，并將寶貴的資源分配到最需要的地方。這意味著根據(jù)四個關(guān)鍵變量計算資產(chǎn)的風險評分：

• 測量的通用漏洞評分系統(tǒng)(cvss)嚴重性
• 被利用的可能性
• 基于安全控制和配置的暴露級別
• 資產(chǎn)的重要性

Abramson補充說，“暴露分析是最重要的，但傳統(tǒng)的風險評分方法卻缺少這一點。暴露分析識別可利用的漏洞，并將這些數(shù)據(jù)與企業(yè)獨特的網(wǎng)絡(luò)配置和安全控制相關(guān)聯(lián)，以確定系統(tǒng)是否可能受到網(wǎng)絡(luò)攻擊?！?/p>