Skybox安全研究实验室在2021年公布了20175个新漏洞,去年也是报告漏洞数量最多的一年。而这些新漏洞只是冰山一角,该实验室在过去10年发布的漏洞总数达到166938个。
这些漏洞年复一年地累积起来,这意味着巨大的风险,它们将让企业在堆积如山的网络安全债务中陷入困境。正如美国网络安全和基础设施安全局(CISA)在其经常利用的顶级漏洞列表中所强调的那样,威胁行为者经常利用过去几年公开披露的漏洞进行攻击。
Skybox安全研究实验室威胁情报分析师Ran Abramson说,“大量累积的漏洞意味着企业不可能修补所有这些漏洞。为了防止发生网络安全事件,对可能导致最严重破坏的暴露漏洞进行优先排序至关重要。然后应用适当的补救选项,包括配置更改或网络分段,以消除风险。”
运营技术漏洞同比增长近一倍
运营技术(OT)漏洞在2021年增加了88%,这些漏洞用于攻击关键基础设施,并使重要系统面临潜在的破坏。运营技术系统支持能源、水、交通、环境控制系统和其他基本设备。对这些重要资产的网络攻击可能造成严重的经济损失,甚至危及公共健康和安全。
随着OT和IT网络的融合,威胁参与者越来越多地利用一种环境中的漏洞来攻击另一种环境中的资产。许多OT攻击都是从IT漏洞开始的,然后是横向移动以访问OT设备。相反,入侵者可能会使用OT系统作为IT网络的跳板,在那里他们可以传递恶意有效载荷、过滤数据、发起勒索软件攻击,并进行其他攻击。恶意软件越来越多地被设计为利用IT和OT资源。
被利用的新漏洞增加了24%
随着2021年新漏洞的出现,威胁行为者立即利用它们。2021年发布的168个漏洞在12个月内被迅速利用,这比2020年发布并随后被利用的漏洞数量多出24%。换句话说,威胁行为者和恶意软件开发人员将最近出现的漏洞武器化。
这让安全团队陷入困境,缩短了从最初发现漏洞到出现针对漏洞的主动攻击之间的时间。修复已知漏洞的窗口越来越小,这意味着主动性漏洞管理方法比以往任何时候都更为重要。
新的加密劫持恶意软件程序增加了75%
针对已知漏洞的新加密劫持程序同比增长75%,勒索软件增长了42%。这两个案例都说明了恶意软件行业如何更好地利用新兴的商业机会,为经验丰富的网络罪犯和缺乏经验的新手提供一系列工具和服务。
网络犯罪分子以获利为目标,他们的恶意软件即服务包利用了最普遍的漏洞。2021年数量最多的恶意软件程序针对Log4Shell、Microsoft Exchange Server漏洞和Pulse Connect Server漏洞。
如何利用数据科学预测和预防网络攻击
调研机构Forrester Research公司声称:“首席信息安全官最害怕企业董事会提出一个问题:‘我们安全吗?’,董事会提出这个问题,是因为他们想知道安全领导者是否在正确地领域进行了投资,并在安全方面进行了足够的投资,以满足他们对各种问题的承受能力。然而,首席信息安全官长期以来致力于回答这个问题,过去一直依赖定性方法,例如基于主观专家判断和意见的序数评分机制和5×5热图。”
为了通用风险语言实现标准化,安全团队需要一个客观的框架来衡量任何给定漏洞对其企业构成的实际风险。这需要使用严格的评分系统,该系统可用于确定补救工作的优先级,并将宝贵的资源分配到最需要的地方。这意味着根据四个关键变量计算资产的风险评分:
- 测量的通用漏洞评分系统(cvss)严重性
- 被利用的可能性
- 基于安全控制和配置的暴露级别
- 资产的重要性
Abramson补充说,“暴露分析是最重要的,但传统的风险评分方法却缺少这一点。暴露分析识别可利用的漏洞,并将这些数据与企业独特的网络配置和安全控制相关联,以确定系统是否可能受到网络攻击。”