调查|2016年公布的漏洞数量创造新记录

作者:星期四, 二月 9, 20170
分享:

2月6日由Risk Based Security发布的一项报告显示,去年公布的漏洞数量创造了新的纪录。这份名为《2016年度漏洞概览》的报告列举了Risk Based Security通过VulnDB漏洞检测平台提供的分析结果。

vulnerability-quickview-cover-600

报告显示,2016年间VulnDB共报告了15000个漏洞,这一数据刷新了历史纪录。雪上加霜的是,不仅仅漏洞的数量在增加,而且报告的问题也日趋严重。常见漏洞评级体系(CVSS)是一项测量安全漏洞的风险程度的行业标准,漏洞的评级和其造成的影响成正比。2016年的已报漏洞中,21.3%的CVSS评级在9.0和10.0之间。此外,2016年间漏洞报告的方式繁多,然而相对于业界的各自为战,故障激励项目的成果令人振奋。

虽然漏洞的类型很多,2016年报告最多的Web漏洞攻击是跨站脚本攻击(XSS)。

下列是《2016年度漏洞概览》列举的一些重点问题:

1. 前所未有的漏洞数量

kl_bug_bounty

Risk Based Security的2016软件漏洞报告发现今年检测到的漏洞数量创下历史纪录,漏洞奖励项目是发现漏洞的主力军之一。

2. 漏洞数量仍在稳步上升

%e6%bc%8f%e6%b4%9e%e6%95%b0%e9%87%8f%e4%b8%8a%e5%8d%87-800

根据Risk Based Security的VulnDB漏洞跟踪系统,2016年的漏洞数量高达15000,这一数目仍保持增长趋势。

3. 漏洞影响力的变化

%e6%bc%8f%e6%b4%9e%e5%bd%b1%e5%93%8d%e5%8a%9b%e5%8f%98%e5%8c%96-800

漏洞的影响可能随时间变化而变化。常见的漏洞评级体系(CVSS)试图衡量特定漏洞的影响,而该评级近年来一直呈现升高趋势,表明漏洞的数量和严重程度都在上升。

4. 2016年,漏洞威胁性进一步提高

%e6%bc%8f%e6%b4%9e%e5%a8%81%e8%83%81%e6%80%a7%e6%8f%90%e9%ab%98-750

具体来看,2016年的已报漏洞中,21.3%的CVSS评级在9.0和10.0之间。

5. 供应商验证了大多数漏洞

%e6%bc%8f%e6%b4%9e%e6%8a%ab%e9%9c%b2%e8%b7%af%e5%be%84-500

在VulnDB所报告的漏洞中,80.1%的漏洞在公开前由一家供应商验证。

6. 漏洞奖励项目发现更多的缺陷

%e6%bc%8f%e6%b4%9e%e5%a5%96%e5%8a%b1%e9%a1%b9%e7%9b%ae-800

根据VulnDB的数据,自2013年以来,漏洞奖励项目已经成为漏洞信息的主要来源,其发现问题的能力远超供应商自身。

7. 供应商的响应时间存在差异

%e5%8e%82%e5%95%86%e5%93%8d%e5%ba%94%e6%97%b6%e9%97%b4-800

在处理2016年的各个漏洞时,不同的供应商的响应速度存在差异。VulnDB使用了漏洞时间和风险度量系统(VTEM)追踪了各企业的响应速度。谷歌的响应时间为三天,名列第一。

8. XSS成为最常见的Web漏洞

%e4%b8%bb%e8%a6%81web%e6%bc%8f%e6%b4%9e%e7%b1%bb%e5%9e%8b-400

根据VulnDB对Web漏洞的观测,跨站脚本(XSS)在占据了2016年的Web漏洞报告的37%。

(报告全文获取链接:https://pages.riskbasedsecurity.com/2016-ye-vuln-quickview

 

分享:

相关文章

写一条评论

 

 

0条评论