Bugcrowd公司2022版“Priority One Report”涵蓋去年各種安全趨勢。報(bào)告中稱,,其漏洞眾測平臺去年向金融服務(wù)公司提交的P1級(Priority One:第一優(yōu)先級)漏洞報(bào)告增加了185%,。Bugcrowd表示,P1級報(bào)告所涉漏洞可導(dǎo)致提權(quán)(從未授權(quán)提升至管理員權(quán)限)或遠(yuǎn)程代碼執(zhí)行,、財(cái)務(wù)失竊等等,。總體而言,,2021年P(guān)1級漏洞增加了186%,。
Bugcrowd創(chuàng)始人Casey Ellis補(bǔ)充道,轉(zhuǎn)向遠(yuǎn)程辦公的全球趨勢促使各組織將更多資產(chǎn)放到網(wǎng)上,。為保護(hù)這些資產(chǎn),,面向道德黑客的投資也隨之增多,。Bugcrowd發(fā)現(xiàn),,去年提交的全部有效漏洞報(bào)告中24%涉及P1和P2級威脅。P2級威脅就是影響軟件安全及其所支持業(yè)務(wù)進(jìn)程的漏洞,。
Ellis指出,,民族國家黑客組織也變得更加肆無忌憚,不再那么關(guān)心潛蹤匿跡問題,,2021年里愈加頻繁地利用已知漏洞發(fā)起攻擊,。
“值得注意的是,由于勒索軟件經(jīng)濟(jì)的興起和黑客國家隊(duì)與電子犯罪團(tuán)伙之間界限的持續(xù)模糊,,此類威脅也民主化了,。所有這些情況,再加上威脅面的不斷擴(kuò)大和攻擊收益的愈加豐厚,,整個局面變得岌岌可危,。2022年,我們預(yù)計(jì)形勢會更加惡化,?!?/p>
甚至P3級漏洞,也就是影響多名用戶且?guī)缀醪恍枰脩艚换ゾ湍苡|發(fā)的那類漏洞,,在2021年也出現(xiàn)了同比增長,。
漏洞報(bào)告數(shù)量總體增長82%,,為這些漏洞報(bào)告支付的酬金則增長了106%。軟件業(yè)的漏洞眾測支出也增長了73%,。相較于2020年,,2021年前三季度政府部門收到的漏洞報(bào)告數(shù)量同比上漲1000%。
Bugcrowd還發(fā)現(xiàn),,跨站腳本是最常見的漏洞類型,,而敏感數(shù)據(jù)暴露則從十大漏洞列表的第九位上升到了第三位。
Bugcrowd解釋道:“2021年頂級漏洞排行榜上出現(xiàn)了一些變化,,跨站腳本取代訪問控制受損成為了最常見的漏洞類型,,重回2019年榜眼位置,反映出2020和2021兩年間自研Web應(yīng)用快速部署的趨勢,?!?/p>
“由于業(yè)界越來越重視通過掃描來發(fā)現(xiàn)漏洞,涉內(nèi)部資產(chǎn)的敏感數(shù)據(jù)暴露從去年的第九位躍升六位,,來到了第三的位置,。這是疫情引發(fā)快速數(shù)字化轉(zhuǎn)型期間攻擊面擴(kuò)大且復(fù)雜性增加的直接后果。十大常見漏洞類型榜單的變化展現(xiàn)了漏洞類別的自然生命周期,,也反映出了建設(shè)者和破壞者間互動的‘貓鼠游戲’本質(zhì):眾測白帽子在賞金激勵下努力挖掘新的普遍性漏洞,,這些漏洞最終通過自動化工具加以解決(導(dǎo)致激勵降低),然后驅(qū)動大家熱切追尋的新漏洞類型出現(xiàn),?!?/p>