2020年是网络安全应用使用量爆表、甚至是创纪录的一年,所有行业的企业都在攻击量暴增的严峻形势下投入大量精力来研究网络安全,以跟上不断变化的威胁格局。
高危漏洞的发现
在过去的12个月里,Bugcrowd平台上提交的各类漏洞较往年激增了50%,其中优先级1 (P1)增加了65%,其中涉及到是最关键的安全漏洞。
该报告对COVID-19如何重新定义整个行业的网络安全实践提供了全面的看法。世界卫生组织(World Health Organization)报告称,
在疫情爆发后不久,针对其员工的攻击和针对公众的电子邮件诈骗增加了500%,主要原因是在一个“远程第一”的工作世界中,勒索软件和新的攻击载体增加了7倍。
软件行业看到了众包安全对安全的迫切需求
由于疫情的传播,深受荼毒的软件行业看到了各类人群对安全的迫切需求。与2019年全年相比,2020的前10个月提交的漏洞增加了24%。
从整体来看,电脑软件相关行业公司在提交安全需求时所花费的金额几乎是其他任何行业的5倍。最值得注意的是,到2020年,软件行业提交的P1文件几乎激增了三倍。
Bugcrowd首席执行官阿希什·古普塔(Ashish Gupta)表示:“我们的第一优先报告的清楚发现并表明,所有领先组织都将源于众包安全作为安全战略的核心元素。”
[[360804]]
“比较过去几年数据,我们看到由于快速化转型和COVID-19大流行造成的威胁增加。漏洞提交数量增加,关键漏洞数量也随之激增,网络安全需求正在迅速增长,网络安全总支出平均每季度稳步增长约15-20%。”
API和Android漏洞不断增加
该报告发现,2020年提交的前10名漏洞,其中8个出现在2019年的名单上。这说明管理已知晓的风险对于大多数企业来说仍然是一个挑战。
去年,向所有行业提交的申请都有所增加。最值得注意的是,API和物联网漏洞翻了一番,在Android目标中发现的漏洞翻了三倍多。
对远程工作的高度关注以及2020年物联网设备采用的后续增长,使得物联网设备对网络罪犯更具吸引力。
人为错误是大多数漏洞原因
2020年提交的最多的漏洞来自中断的访问控制,而第二多的漏洞与跨站脚本攻击(XSS)有关。
被破坏的访问控制漏洞是由人为错误造成的,通常可以通过正确使用内置了XSS预防功能的代码框架来防止。结果,经研究强调了一个事实,人为失误是安全风险的主要来源。
金融服务业加大对关键漏洞的投入
从2020年第一季度到第二季度,金融企业对P1漏洞的支出翻了一番。大流行导致的银行分行关闭和其他业务流程变化,迫使金融服务行业以比大多数垂直行业更快的速度加速数字化转型。
这导致了攻击面的扩大,为了应对这一情况,油气行业采取了吸引人群的强烈动机,以识别新的风险。这导致金融服务部门在2020年1月至10月提交的申请比2019年全年提交的都多。
对客户来说,速度是一种竞争优势。在几乎所有的行业,道德安全研究人员将在一周或更短的时间内发现漏洞,参与漏洞泄露、攻击表面、漏洞悬赏或钢笔测试程序。
在消费者服务和媒体等行业,研究人员往往在不到一天的时间里就能发现漏洞。虽然研究人员通常需要几天的时间才能找到政府和汽车行业的漏洞,但这些漏洞的风险通常要高得多。
Gupta补充说:“全面发现的速度表明,众包安全可以为安全团队和公司提供巨大的价值,这些团队和公司希望快速推进数字转型努力,并将新的基础设施引入网络。”
“竞争对手也在效仿这种速度,因此,拥有一个众包的安全平台就显得更加重要,这样一来,有安全需求的公司就可以利用这些专业团队的专业知识、敏捷性,来确保组织安全。”
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/128239.html<
