Jonathan Greig er journalist basert i New York City.
Full Bio 8. desember 2021 | Emne: Sikkerhet
National Institute of Standards and Technology (NIST) ga ut en graf som viser antall sårbarheter rapportert i 2021, og fant 18 378 i år.
Tallet satte rekord for femte år på rad, men 2021 var annerledes på noen måter. Antallet alvorlige sårbarheter falt litt sammenlignet med 2020, med 3 646 høyrisikosårbarheter i år sammenlignet med fjorårets 4 381.
For 2021 oversteg antallet rapporterte sårbarheter med middels og lav risiko – henholdsvis 11 767 og 2 965 – de som ble sett i 2020.
NIST
Meningene om grafen var blandede, med noen forvirret om hvorfor det var færre alvorlige sårbarheter og andre sa at rapporten stemte overens med det de så gjennom året.
CTO for Bugcrowd, Casey Ellis sa på det mest grunnleggende nivået , teknologien i seg selv akselererer og sårbarheter er iboende for programvareutvikling. Jo mer programvare som produseres, jo flere sårbarheter vil det eksistere, forklarte Ellis.
Når det gjelder oppdelingen av sårbarheter med høy, middels og lav alvorlighetsgrad, sa Ellis at problemer med lav effekt er lettere å finne og rapporteres generelt oftere, mens det motsatte gjelder for problemer med høy effekt.
“Problemer med høy påvirkning har en tendens til å være mer kompliserte, utbedres raskere når de først er funnet, og – i tilfelle av systemiske høypåvirkningssårbarhetsklasser – blir ofte prioritert for rotårsaksanalyse og anti-mønsterunngåelse i fremtiden, og dermed kan ofte være færre i antall,” sa Ellis.
Pravin Madhani, administrerende direktør i K2 Cyber Security, sa at det lavere antallet sårbarheter med høy alvorlighetsgrad kan skyldes bedre kodingspraksis fra utviklere, og forklarer at mange organisasjoner har tatt i bruk et “skifte til venstre” de siste årene og forsøker å legge mer vekt på å sikre sikkerhet er en høyere prioritet tidligere i utviklingsprosessen.
Den samlede økningen i rapporterte sårbarheter skyldtes ikke en liten del av COVID-19-pandemien, som tvang nesten alle organisasjoner globalt til å ta i bruk teknologi på en eller annen måte, la Madhani til.
“Den pågående COVID-19-pandemien har fortsatt å presse mange organisasjoner til å haste med å få applikasjonene sine til produksjon, som en del av deres digitale transformasjon og skyreiser, noe som betyr at koden kan ha vært gjennom mindre QA-sykluser, og det kan ha vært mer bruk av Tredjeparts, arv og åpen kildekode, en annen risikofaktor for flere sårbarheter,” sa Madhani. “Så selv om selskaper kanskje koder bedre, tester de ikke så mye eller så grundig, og derfor kom flere sårbarheter i produksjon.”
Andre cybersikkerhetseksperter som Viakoo-sjef Bud Broomhead sa at rapporten var alarmerende på grunn av hvor mange utnyttbare sårbarheter som gjenstår “i naturen” som trusselaktører kan dra nytte av.
Det rekordstore antallet nye sårbarheter, kombinert med det langsomme tempoet med å lappe og oppdatere enheter for å rette opp sårbarheter, betyr at risikoen er høyere enn noen gang for at organisasjoner blir brutt, spesielt gjennom upatchede IoT-enheter, la Broomhead til .
Vulcan Cyber-sjef Yaniv Bar-Dayan sa at det som bekymret ham mest var den økende haugen av sikkerhetsgjeld som cybersikkerhetsfagfolk ikke kan komme i forkant av.
Hvis IT-sikkerhetsteam lar 2020-sårbarhetene ikke adresseres, er det reelle 2021-tallet kumulativt og blir vanskeligere og vanskeligere å forsvare seg mot, forklarte Bar-Dayan.
“Vi ser mer avanserte vedvarende trusler som SolarWinds-hakket som kjeder sårbarheter og utnyttelser for å påføre digitale organisasjoner maksimal skade. Som en bransje lærer vi fortsatt av og rydder opp etter den. Og det er urettferdig å legge hele skylden på seg. på SolarWinds med tanke på hvordan de dårlige aktørene brukte kjente, gamle, uadresserte sårbarheter som burde vært redusert av IT-sikkerhetsteam i god tid før SolarWinds programvareforsyningskjedehack ble klekket ut,” sa Bar-Dayan.
“Cybersikkerhet. team må gjøre mer enn bare å søke etter sårbarheter. Vi må jobbe sammen som en bransje for å bedre måle, administrere og redusere cyberrisiko, ellers vil vi bli knust av dette voksende fjellet av sårbarhetsgjeld.»
Sikkerhet
Hackere bruker ny skadelig programvare som gjemmer seg mellom blokker med søppelkode Crooks selger tilgang til hackede nettverk. Ransomware-gjenger er deres største kunder Her er den perfekte gaven for å beskytte alle med en datamaskin Disse forskerne ønsket å teste skysikkerhet. De ble sjokkert over det de fant Hackere bruker denne enkle teknikken for å installere skadelig programvare på PC-er rammet av løsepengeprogram? Ikke gjør denne første åpenbare feilen Enterprise Software | Sikkerhets-TV | Databehandling | CXO | Datasentre