NIST發布報告：漏洞數量連漲五年

美國國家標準與技術研究所（NIST）發布信息圖顯示，2021年報告的漏洞數量為18378個。 

年度報告漏洞數量五連漲，但2021年的情況與此前幾年在某些方面不太一樣。相比2020年，高嚴重性漏洞數量略有下降。今年是3446個高嚴重性漏洞，而去年則有4381個。 

2021年上報的中風險和低風險漏洞數量分別為11767個和2965個，均超過了2020年錄得的數據。 

關于圖表，眾說紛紜。有些人困惑于高嚴重性漏洞減少的原因，而另一些人則表示該報告與他們整年所見相符。

Bugcrowd首席技術官Casey Ellis稱，從最基本的層面來看，技術本身一直在加速發展，而漏洞是軟件開發所固有的。產出的軟件越多，存在的漏洞也就越多。 

至于高、中、低嚴重性漏洞的不同情況，Ellis認為，影響小的問題更容易發現，通常也就更經常報告；而影響大的問題正好相反。 

Ellis表示：“高嚴重性問題往往更加復雜，一經發現就會立即修復，對于系統性高嚴重性漏洞，團隊往往還會優先安排根源分析，避免未來再次發生類似問題，因而這種級別的漏洞數量反而更少。”

K2 Cyber Security首席執行官Pravin Madhani稱，高嚴重性漏洞數量下降的原因可能是開發人員采用了更好的編碼實踐，并解釋道，很多企業最近幾年都采納了“安全左移”方法，尋求在開發過程早期階段就重視確保安全。 

Madhani補充說，在很大程度上，上報漏洞數量總體增加是由于新冠肺炎疫情：疫情迫使全球幾乎每家企業都以各種方式采用技術。 

“作為企業數字化轉型和上云旅程的一部分，持續的新冠肺炎疫情陰霾繼續推動很多企業快速上線自己的應用，這意味著代碼可能沒經過完整的質量保障（QA）流程，且可能使用了更多的第三方代碼、老版代碼和開源代碼，而這些都是出現更多漏洞的風險因素。因此，盡管企業可能采用了更好的編碼方式，卻可能減少了測試步驟，或者測試不徹底，導致產出了更多漏洞。”

Viakoo首席執行官Bud Broomhead等其他網絡安全專家則認為，考慮到當前坐等惡意黑客利用的漏洞如此之多，這份報告很具警示意味。  

新漏洞數量再破紀錄，加之修復和更新設備的滯后和遲緩，意味著企業遭入侵的風險比以往任何時候都要高，尤其是通過未修復物聯網設備入侵。 

Vulcan Cyber首席執行官Yaniv Bar-Dayan稱，自己最擔心的是不斷增加的安全欠債，網絡安全人員似乎不太可能還清。 

如果IT安全團隊沒解決2020年的漏洞，那2021年的漏洞就會累積，也就會越來越難以防御。

Bar-Dayan稱：“SolarWinds供應鏈后門事件這種高級持續性威脅越來越多，菊花鏈漏洞和漏洞利用程序給數字化企業帶來嚴重損害。而整個網絡安全行業都仍在為此事件善后并從中學習經驗教訓。考慮到IT安全團隊本應早在SolarWinds軟件供應鏈黑客事件發生之前就修復這些老舊已知漏洞，將所有責任都歸咎于SolarWinds是不公平的。”

“網絡安全團隊需要做的不僅僅是漏洞掃描。作為一個行業，我們需要共同進退，更好地評估、管理和緩解網絡風險。否則，我們將被不斷累積的漏洞債務壓垮。”