Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 8 december 2021 | Ämne: Säkerhet
National Institute of Standards and Technology (NIST) släppte en graf som visar antalet sårbarheter som rapporterades 2021, och hittade 18 378 i år.
Siffran satte rekord för femte året i rad, men 2021 var annorlunda på vissa sätt. Antalet allvarliga sårbarheter minskade något jämfört med 2020, med 3 646 högrisksårbarheter i år jämfört med förra årets 4 381.
För 2021 översteg antalet rapporterade sårbarheter med medelhög och låg risk – 11 767 respektive 2 965 – de som sågs under 2020.
NIST
Åsikterna om grafen var blandade, med vissa förvirrade om varför det fanns färre allvarliga sårbarheter och andra sa att rapporten stämde överens med vad de såg under hela året.
Bugcrowd CTO Casey Ellis sa på den mest grundläggande nivån , tekniken i sig accelererar och sårbarheter är inneboende i mjukvaruutveckling. Ju mer mjukvara som produceras, desto fler sårbarheter kommer att finnas, förklarade Ellis.
När det kommer till uppdelningen av sårbarheter med hög, medel och låg svårighetsgrad, sa Ellis att problem med låg påverkan är lättare att hitta och rapporteras generellt oftare, med motsatsen när det gäller problem med hög påverkan.
“Frågor med hög påverkan tenderar att vara mer komplicerade, åtgärdas snabbare när de väl hittats, och – i fallet med systemiska högpåverkanssårbarhetsklasser – prioriteras ofta för rotorsaksanalys och undvikande av mönster i framtiden, och därmed kan ofta vara färre till antalet”, sa Ellis.
Pravin Madhani, VD för K2 Cyber Security, sa att det lägre antalet sårbarheter med hög svårighetsgrad kan bero på bättre kodningsmetoder från utvecklare, och förklarar att många organisationer har antagit ett “vänsterskifte” de senaste åren och försöker lägga mer vikt vid att säkerställa säkerhet är en högre prioritet tidigare i utvecklingsprocessen.
Den övergripande ökningen av rapporterade sårbarheter berodde inte en liten del på covid-19-pandemin, som tvingade nästan alla organisationer globalt att ta till sig teknik på ett eller annat sätt, tillade Madhani.
“Den pågående covid-19-pandemin har fortsatt att driva många organisationer att skynda på att få sina applikationer till produktion, som en del av deras digitala transformation och molnresor, vilket innebär att koden kan ha genomgått färre kvalitetscykler, och det kan ha varit mer användning av Tredjeparts, äldre och öppen källkod, en annan riskfaktor för fler sårbarheter,” sa Madhani. “Så även om företag kanske kodar bättre, testar de inte lika mycket eller så noggrant, och därför kom fler sårbarheter i produktion.”
Andra cybersäkerhetsexperter som Viakoo vd Bud Broomhead sa att rapporten var alarmerande på grund av hur många exploaterbara sårbarheter som finns kvar “i det vilda” för hotaktörer att dra nytta av.
Det rekordhöga antalet nya sårbarheter, i kombination med den långsamma takten i lappning och uppdatering av enheter för att åtgärda sårbarheter, innebär att risken är högre än någonsin för organisationer att bli intrångade, särskilt genom oparpade IoT-enheter, tillade Broomhead .
Vulcan Cybers vd Yaniv Bar-Dayan sa att det som bekymrade honom mest var den växande högen av säkerhetsskulder som cybersäkerhetsproffs inte verkar kunna komma före.
Om IT-säkerhetsteam lämnar 2020 års sårbarheter oadresserade, är det verkliga 2021-talet kumulativt och blir svårare och svårare att försvara sig mot, förklarade Bar-Dayan.
“Vi ser mer avancerade ihållande hot som SolarWinds-hacket som kedjar sårbarheter och utnyttjar för att tillfoga maximal skada till digitala organisationer. Som bransch lär vi oss fortfarande av och städar upp efter det. Och det är orättvist att lägga hela skulden på SolarWinds med tanke på hur de dåliga aktörerna använde kända, gamla, oåtgärdade sårbarheter som borde ha mildrats av IT-säkerhetsteam långt innan hacket på SolarWinds mjukvaruförsörjningskedja någonsin kläcktes”, sa Bar-Dayan.
“Cybersäkerhet. team måste göra mer än att bara söka efter sårbarheter. Vi måste arbeta tillsammans som en bransch för att bättre mäta, hantera och mildra cyberrisker, annars kommer vi att krossas av detta växande berg av sårbarhetsskulder.”
Säkerhet
Hackare använder ny skadlig programvara som gömmer sig mellan block med skräpkod Skurkar säljer åtkomst till hackade nätverk. Ransomware-gäng är deras största kunder. Här är den perfekta presenten för att skydda alla med en dator. Dessa forskare ville testa molnsäkerhet. De blev chockade över vad de upptäckte. Hackare vänder sig till denna enkla teknik för att installera sin skadliga programvara på datorer som drabbats av ransomware? Gör inte detta första uppenbara misstag Enterprise Software | Säkerhets-TV | Datahantering | CXO | Datacenter