網絡犯罪分子利用新的安全漏洞的速度有多快?

Skybox安全研究實驗室的威脅情報分析師發現，2021年針對已知漏洞新的勒索軟件程序增加了42%。該報告揭示了網絡犯罪分子利用新的安全弱點的速度，并縮短了企業必須在網絡攻擊前修復漏洞的窗口。

新漏洞數量的創紀錄增長 

Skybox安全研究實驗室在2021年公布了20175個新漏洞，去年也是報告漏洞數量最多的一年。而這些新漏洞只是冰山一角，該實驗室在過去10年發布的漏洞總數達到166938個。 

這些漏洞年復一年地累積起來，這意味著巨大的風險，它們將讓企業在堆積如山的網絡安全債務中陷入困境。正如美國網絡安全和基礎設施安全局(CISA)在其經常利用的頂級漏洞列表中所強調的那樣，威脅行為者經常利用過去幾年公開披露的漏洞進行攻擊。 

Skybox安全研究實驗室威脅情報分析師Ran Abramson說，“大量累積的漏洞意味著企業不可能修補所有這些漏洞。為了防止發生網絡安全事件，對可能導致最嚴重破壞的暴露漏洞進行優先排序至關重要。然后應用適當的補救選項，包括配置更改或網絡分段，以消除風險。” 

運營技術漏洞同比增長近一倍 

運營技術(OT)漏洞在2021年增加了88%，這些漏洞用于攻擊關鍵基礎設施，并使重要系統面臨潛在的破壞。運營技術系統支持能源、水、交通、環境控制系統和其他基本設備。對這些重要資產的網絡攻擊可能造成嚴重的經濟損失，甚至危及公共健康和安全。 

隨著OT和IT網絡的融合，威脅參與者越來越多地利用一種環境中的漏洞來攻擊另一種環境中的資產。許多OT攻擊都是從IT漏洞開始的，然后是橫向移動以訪問OT設備。相反，入侵者可能會使用OT系統作為IT網絡的跳板，在那里他們可以傳遞惡意有效載荷、過濾數據、發起勒索軟件攻擊，并進行其他攻擊。惡意軟件越來越多地被設計為利用IT和OT資源。 

被利用的新漏洞增加了24% 

隨著2021年新漏洞的出現，威脅行為者立即利用它們。2021年發布的168個漏洞在12個月內被迅速利用，這比2020年發布并隨后被利用的漏洞數量多出24%。換句話說，威脅行為者和惡意軟件開發人員將最近出現的漏洞武器化。 

這讓安全團隊陷入困境，縮短了從最初發現漏洞到出現針對漏洞的主動攻擊之間的時間。修復已知漏洞的窗口越來越小，這意味著主動性漏洞管理方法比以往任何時候都更為重要。 

新的加密劫持惡意軟件程序增加了75% 

針對已知漏洞的新加密劫持程序同比增長75%，勒索軟件增長了42%。這兩個案例都說明了惡意軟件行業如何更好地利用新興的商業機會，為經驗豐富的網絡罪犯和缺乏經驗的新手提供一系列工具和服務。 

網絡犯罪分子以獲利為目標，他們的惡意軟件即服務包利用了最普遍的漏洞。2021年數量最多的惡意軟件程序針對Log4Shell、Microsoft Exchange Server漏洞和Pulse Connect Server漏洞。 

如何利用數據科學預測和預防網絡攻擊 

調研機構Forrester Research公司聲稱：“首席信息安全官最害怕企業董事會提出一個問題：‘我們安全嗎?’，董事會提出這個問題，是因為他們想知道安全領導者是否在正確地領域進行了投資，并在安全方面進行了足夠的投資，以滿足他們對各種問題的承受能力。然而，首席信息安全官長期以來致力于回答這個問題，過去一直依賴定性方法，例如基于主觀專家判斷和意見的序數評分機制和5×5熱圖。” 

為了通用風險語言實現標準化，安全團隊需要一個客觀的框架來衡量任何給定漏洞對其企業構成的實際風險。這需要使用嚴格的評分系統，該系統可用于確定補救工作的優先級，并將寶貴的資源分配到最需要的地方。這意味著根據四個關鍵變量計算資產的風險評分：

• 測量的通用漏洞評分系統(cvss)嚴重性 
• 被利用的可能性 
• 基于安全控制和配置的暴露級別 
• 資產的重要性 

Abramson補充說，“暴露分析是最重要的，但傳統的風險評分方法卻缺少這一點。暴露分析識別可利用的漏洞，并將這些數據與企業獨特的網絡配置和安全控制相關聯，以確定系統是否可能受到網絡攻擊。”