Jonathan Greig er journalist baseret i New York City.
Fuld bio den 8. december 2021 | Emne: Sikkerhed
Det Nationale Institut for Standarder og Teknologi (NIST) udgav en graf, der viser antallet af rapporterede sårbarheder i 2021, og fandt 18.378 i år.
Tallet satte rekord for femte år i træk, men 2021 var anderledes på nogle måder. Antallet af alvorlige sårbarheder faldt en smule sammenlignet med 2020, med 3.646 højrisikosårbarheder i år sammenlignet med sidste års 4.381.
For 2021 oversteg antallet af rapporterede sårbarheder med middel og lav risiko – henholdsvis 11.767 og 2.965 – dem, der blev set i 2020.
NIST
Meningerne om grafen var blandede, hvor nogle var forvirrede over, hvorfor der var færre alvorlige sårbarheder, og andre sagde, at rapporten stemte overens med det, de så i løbet af året.
Bugcrowd CTO Casey Ellis sagde på det mest grundlæggende niveau , teknologien i sig selv accelererer, og sårbarheder er iboende i softwareudvikling. Jo mere software, der produceres, jo flere sårbarheder vil der eksistere, forklarede Ellis.
Når det kommer til opdelingen af sårbarheder med høj, mellem og lav sværhedsgrad, sagde Ellis, at problemer med lav indvirkning er nemmere at finde og generelt rapporteres oftere, hvor det modsatte er tilfældet med problemer med stor indvirkning.
“Problemer med høj indvirkning har en tendens til at være mere komplicerede, afhjælpes hurtigere, når de først er fundet, og – i tilfælde af systemiske sårbarhedsklasser med stor indvirkning – bliver ofte prioriteret til rodårsagsanalyse og anti-mønsterundgåelse i fremtiden og dermed kan ofte være færre i antal,” sagde Ellis.
Pravin Madhani, administrerende direktør for K2 Cyber Security, sagde, at det lavere antal sårbarheder med høj alvorlighed kan skyldes bedre kodningspraksis fra udviklere, og forklarer, at mange organisationer har vedtaget et “skift til venstre” i de seneste år og søger at lægge mere vægt på at sikre sikkerhed er en højere prioritet tidligere i udviklingsprocessen.
Den samlede stigning i rapporterede sårbarheder skyldtes ikke en lille del af COVID-19-pandemien, som tvang næsten alle organisationer globalt til at adoptere teknologi på den ene eller anden måde, tilføjede Madhani.
“Den igangværende COVID-19-pandemi har fortsat presset mange organisationer til at skynde sig med at få deres applikationer til produktion, som en del af deres digitale transformation og cloud-rejser, hvilket betyder, at koden kan have været igennem færre QA-cyklusser, og der kan have været mere brug af Tredjeparts, arv og åben kildekode, en anden risikofaktor for flere sårbarheder,” sagde Madhani. “Så selvom virksomheder koder bedre, tester de ikke så meget eller så grundigt, og derfor kom flere sårbarheder til produktionen.”
Andre cybersikkerhedseksperter som Viakoo CEO Bud Broomhead sagde, at rapporten var alarmerende på grund af hvor mange udnyttelige sårbarheder, der forbliver “i naturen”, som trusselsaktører kan drage fordel af.
Det rekordstore antal af nye sårbarheder, kombineret med det langsomme tempo i patchning og opdatering af enheder for at afhjælpe sårbarheder, betyder, at risikoen er højere end nogensinde for organisationer at blive overtrådt, især gennem ikke-patchede IoT-enheder, tilføjede Broomhead .
Vulcan Cybers CEO Yaniv Bar-Dayan sagde, at det, der bekymrede ham mest, var den voksende bunke af sikkerhedsgæld, som cybersikkerhedsprofessionelle ikke ser ud til at komme foran.
Hvis it-sikkerhedsteams lader 2020's sårbarheder ikke adresseres, er det reelle 2021-tal kumulativt og bliver sværere og sværere at forsvare sig imod, forklarede Bar-Dayan.
“Vi ser mere avancerede vedvarende trusler som SolarWinds-hacket, der sammenkæder sårbarheder og udnytter til at påføre digitale organisationer maksimal skade. Som branche lærer vi stadig af og rydder op efter den. Og det er uretfærdigt at lægge hele skylden på sig. på SolarWinds i betragtning af, hvordan de dårlige aktører brugte kendte, gamle, uløste sårbarheder, der burde være blevet afhjulpet af it-sikkerhedsteams i god tid før SolarWinds-softwareforsyningskædehacket nogensinde blev udklækket,” sagde Bar-Dayan.
“Cybersikkerhed. teams skal gøre mere end blot at scanne for sårbarheder. Vi er nødt til at arbejde sammen som en industri for bedre at måle, styre og afbøde cyberrisiko, ellers vil vi blive knust af dette voksende bjerg af sårbarhedsgæld.”
Sikkerhed
Hackere bruger ny malware, som gemmer sig mellem blokke af uønsket kode Skurke sælger adgang til hackede netværk. Ransomware-bander er deres største kunder. Her er den perfekte gave til at beskytte enhver med en computer Disse forskere ønskede at teste cloud-sikkerhed. De var chokerede over, hvad de fandt. Hackere bruger denne enkle teknik til at installere deres malware på pc'er, der er ramt af ransomware? Begå ikke denne første åbenlyse fejl Enterprise Software | Sikkerheds-tv | Datastyring | CXO | Datacentre