Bugcrowd公司2022版“Priority One Report”涵盖去年各种安全趋势。报告中称,其漏洞众测平台去年向金融服务公司提交的P1级(Priority One:第一优先级)漏洞报告增加了185%。Bugcrowd表示,P1级报告所涉漏洞可导致提权(从未授权提升至管理员权限)或远程代码执行、财务失窃等等。总体而言,2021年P1级漏洞增加了186%。
Bugcrowd创始人Casey Ellis补充道,转向远程办公的全球趋势促使各组织将更多资产放到网上。为保护这些资产,面向道德黑客的投资也随之增多。Bugcrowd发现,去年提交的全部有效漏洞报告中24%涉及P1和P2级威胁。P2级威胁就是影响软件安全及其所支持业务进程的漏洞。
Ellis指出,民族国家黑客组织也变得更加肆无忌惮,不再那么关心潜踪匿迹问题,2021年里愈加频繁地利用已知漏洞发起攻击。
“值得注意的是,由于勒索软件经济的兴起和黑客国家队与电子犯罪团伙之间界限的持续模糊,此类威胁也民主化了。所有这些情况,再加上威胁面的不断扩大和攻击收益的愈加丰厚,整个局面变得岌岌可危。2022年,我们预计形势会更加恶化。”
甚至P3级漏洞,也就是影响多名用户且几乎不需要用户交互就能触发的那类漏洞,在2021年也出现了同比增长。
漏洞报告数量总体增长82%,为这些漏洞报告支付的酬金则增长了106%。软件业的漏洞众测支出也增长了73%。相较于2020年,2021年前三季度政府部门收到的漏洞报告数量同比上涨1000%。
Bugcrowd还发现,跨站脚本是最常见的漏洞类型,而敏感数据暴露则从十大漏洞列表的第九位上升到了第三位。
Bugcrowd解释道:“2021年顶级漏洞排行榜上出现了一些变化,跨站脚本取代访问控制受损成为了最常见的漏洞类型,重回2019年榜眼位置,反映出2020和2021两年间自研Web应用快速部署的趋势。”
“由于业界越来越重视通过扫描来发现漏洞,涉内部资产的敏感数据暴露从去年的第九位跃升六位,来到了第三的位置。这是疫情引发快速数字化转型期间攻击面扩大且复杂性增加的直接后果。十大常见漏洞类型榜单的变化展现了漏洞类别的自然生命周期,也反映出了建设者和破坏者间互动的‘猫鼠游戏’本质:众测白帽子在赏金激励下努力挖掘新的普遍性漏洞,这些漏洞最终通过自动化工具加以解决(导致激励降低),然后驱动大家热切追寻的新漏洞类型出现。”
Bugcrowd 2022版“Priority One Report”下载页面:
https://www.bugcrowd.com/resources/reports/priority-one-report/