十年三倍！安全漏洞創紀錄增長

2021年業界共檢測發布了20175個新漏洞，創下年度新增漏洞數量新高。過去10年業界發布的漏洞總數在2021年累計達到166938個，十年間增長了三倍。

但漏洞增長只是問題的冰山一角。

工控安全失控：OT漏洞增長88%

根據Skybox研究實驗室的最新漏洞報告，2021年運營技術(OT)漏洞增加了88%，這些漏洞可用于攻擊關鍵基礎設施并使重要系統面臨破壞性威脅。OT系統是能源、水、交通、環境控制系統和其他基礎設施設備的支撐系統，對OT系統重要資產的攻擊可能造成嚴重的經濟損失，甚至危及公共健康和安全。

新增漏洞最多的OT廠商TOP10：

漏洞利用提速，檢測響應周期變長

隨著2021年新漏洞的涌現，攻擊者正在加快漏洞利用的速度。2021年發布的168個漏洞在12個月內被迅速利用——比2020年發布后被利用的漏洞數量多24%。這意味著攻擊者和惡意軟件開發人員在漏洞武器化方面做得越來越好。

針對已知漏洞的挖礦劫持程序同比增加75%，勒索軟件增加了42%。這兩個數據都說明惡意軟件行業把握“漏洞商機”的能力越來越強。無論是經驗豐富的網絡犯罪分子還是經驗不足的新手，可使用的工具和服務越來越多。

報告中的其他一些亮點數據如下：

• 2021年數據泄露平均損失為424萬美元
• 企業檢測和響應網絡攻擊的平均時間延長至280天
• 新冠疫情期間的新技術應用帶來的風險增長了25%

零日漏洞翻倍增長

根據Google Project Zero的最新報告，2021年零日漏洞創下新高，全年Google檢測并披露了58個零日漏洞，是2020年（25個）的兩倍還多。

Google Project Zero安全研究員Maddie Stone表示：“2021年野外零日漏洞的大幅上升是由于對這些漏洞的檢測和披露增加，并不意味著零日漏洞的利用增加。”

2015年以來年度野外零日漏洞的檢測數量

數據來源：Google Project Zero

在2021年觀察到的58個野外零日漏洞中，39個是內存損壞漏洞，可細分為：釋放后使用(17)、越界讀寫(6)、緩沖區溢出(4)和整數溢出(4)漏洞。

按照平臺劃分，大多數野外零日漏洞來自Chromium(14)，其次是Windows(10)、Android(7)、WebKit/Safari(7)、Microsoft Exchange Server(5)、iOS/macOS(5)和IE瀏覽器(4)。

值得注意的是，14個Chromium零日漏洞中有13個是內存損壞漏洞，其中大部分是釋放后使用漏洞。

參考鏈接：

https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/edit#gid=0

（來源：@GoUpSec）