天创培训:您身边的信息安全培训专家!
开班计划
2019年9月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2019年9月4日-9日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

2018年发现漏洞2.2万个 27%没有可用补丁

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2019-03-16  关键词:漏洞

  安全公司 Risk Based Security (RBS)报告称,2018年共披露了22,022个安全漏洞,且该数字在报告发布后还将继续大幅增长。以去年为例,RBS最初报告称2017年披露了20,832个漏洞,但计入报告完成后新发现的漏洞,这个数字达到了22,230。


  RBS漏洞情报副总裁 Brian Martin 表示,从统计结果看,公司企业今年仍需保持警惕。


  曝出的漏洞依然很多,各类软件都有影响。公司企业无论规模如何,都需对漏洞保持警惕,持续增强漏洞检测分诊过程。


  与最近几年的情况类似,2018年报告的所有安全漏洞中,Web相关漏洞占据了几乎半壁江山(47.9%) 。约27.5%是与访问身份验证有关的漏洞,3.5%属于SCADA漏洞——比2017年增长一倍。


  输入验证漏洞,比如SQL注入错误、跨站脚本、缓冲区溢出和指令注入,再次成为年度漏洞披露主流。2018年里,超过2/3的漏洞与输入验证不足或不恰当有关,表明开发人员仍未解决这一长期霸占OWASP十大漏洞榜首的安全问题。漏洞奖励项目贡献了2018年被披露漏洞中的8%,相比上一年的5.8%略有提升。


  2018年披露的所有漏洞中,约33%的严重性评分高于7分。其中近1/3有公开的漏洞利用程序,约一半是可远程利用的。但严重性评分在9分到10分的高安全风险软件漏洞却连续第三年占比下降,为13.6%。


  个中缘由可能只是因为研究人员披露了更多低风险漏洞。如果研究人员更多披露跨站脚本、跨站请求伪造或路径泄露等风险评分低于9.0分的低风险漏洞,那么即便高风险漏洞的实际数量有所增长,其占比也会被低风险漏洞所稀释。


  也有可能某些高风险安全漏洞被有意隐瞒不报——尽管此数量可能非常有限。虽然有些政府确实会留存评分在9.3或10分的零日安全漏洞,但这种有意瞒报的漏洞数量不会太多。


  需要指出的是,RBS报告显示:仅依靠CVE或国家漏洞数据库(NVD)获取漏洞信息的公司企业正错失大量漏洞。比如说,RBS自己的漏洞数据库就比NVD多出6,780条漏洞记录,且其中近46%的漏洞严重性评分都在7分或以上。其他安全公司也注意到了相同的问题。2017年,Recorded Future 所做的研究表明,超过75%的漏洞在被NVD收录之前就在网上公开披露了。


  让公司企业备受困扰的是,数据显示,2018年披露的漏洞中近三成(27.1%)没有已知或可用补丁。因此,深度防御模型是公司企业必备。公司企业的防御目标应该是运用访问控制列表(ACL)、网络分隔、入侵检测系统(IDS)和入侵防御系统(IPS)等技术,令脆弱系统更难以被攻击者触及。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000