Skybox Security编制的数据显示,美国政府在2022年报告的新漏洞数量每年增长四分之一,达到25096个,创下历史新高。
这家安全供应商分析了美国国家漏洞数据库(NVD),编制了《2023年漏洞和威胁趋势报告》。
这一发现意味着,2022年是新发现的漏洞数量连续第六年达到历史最高水平。Skybox Security表示,最近的增长是自2017年以来最大的一次,过去十年发布的CVE数量超过19.2万份。
在2022年报告的CVE中,约有80%属于中度或重度,其中16%被认为是严重的。
尽管严重漏洞的比例从去年的20%下降了,但Skybox Security认为,严重性不等于风险,恶意行为者经常利用不那么严重的漏洞进行远程代码执行(RCE)、特权升级等。
报告指出,因此必须持续进行风险评估,以确定修补程序的优先级,这不仅取决于CVE的严重程度,还取决于其可利用性、暴露程度、资产重要性和业务影响。
Skybox首席执行官Mordecai Rosen警告说:“传统的反应性网络安全方法等待漏洞报告,然后争先恐后地扫描和修补每个实例,如今已经过时了。有太多的漏洞,要花很长时间才能找到并关闭它们,而且许多漏洞无论如何都是无法修补的。人手不足的网络安全组织无法跟上。”
也许不足为奇的是,去年新恶意软件攻击的头号CVE是Log4j漏洞CVE-2021-44228,该漏洞实际上是在2021年12月底发布的。第二名和第三名分别是Atlassian Confluence RCE漏洞CVE-2022-26134,以及Microsoft Windows Support Diagnostic Tool (MSDT)中的“Follina”RCE漏洞CVE-2022-30190。
根据该报告,在2022年新发现的利用已知漏洞的恶意软件程序中,后门类别是最多产的。