2022年,企业须采取更多“创新和主动”的安全策略来应对威胁!
研究人员表示,企业必须在2022年采取更多“创新和主动”的安全策略来应对去年出现的威胁。
根据Bugcrowd的一份年度安全报告,在2021年漏洞和网络攻击的辉煌一年后,组织认为他们正在与安全漏洞和威胁进行一场“失败的战斗”,“尽管在网络安全技术上集体花费了数十亿美元”。
这种看法是在2021年发现组织正在努力应对混合环境的复杂性(由于疫情疫情,许多公司员工仍留在家中)以及软件的爆炸式增长和供应链作为主要攻击面,根据2022年第一优先报告。
报告预测,安全专业人士的集体挫败感——以及持续的网络安全技能缺口(仍有270万个网络安全角色有待填补)——将“激发人们对2022年更具创新性和前瞻性的安全方法的兴趣”。研究人员表示,这将包括向全球研究团体及其项目寻求漏洞奖励和漏洞披露,以帮助发现和打击威胁。
Bugcrowd提供了一种众包方法来管理组织的pen test、bug bounty、漏洞公开和攻击面管理。2022年的报告汇集了该公司一年来的活动数据,强调了组织在2021年报告的漏洞方面的一些主要趋势,以及最常见的攻击类型。
漏洞说明
根据该报告,跨站脚本(XSS)是去年最常见的漏洞类型,攻击者将代码注入合法网站,当受害者加载该网站时就会执行该漏洞。
攻击者经常在窃取他人凭据的攻击中使用XSS,这可能是敏感数据暴露在去年也备受关注的一个原因。根据该报告,在2021年十大最常识别的漏洞类型列表中,该威胁从第9位上升到第3位。事实上,窃取凭据是威胁行为者破坏公司网络并继续通过勒索软件或其他攻击窃取数据的关键方式。
2021年受漏洞影响最大的行业之一是金融服务行业,根据该报告,在过去12个月里,Bugcrowd平台上的这些公司因“优先级1”或P1提交的文件(指最关键的漏洞)而大幅增长了185%。有效的bug提交在这一领域也增长了82%,识别缺陷的支出也是如此,去年增长了106%。
根据该报告,2021年政府部门有效漏洞提交量也大幅上升。该报告称,Bug提交量在这一领域增长了惊人的1000%,这也使该行业成为“与人群持续接触的主要受益者”。
报告称:“这些提交的绝大多数发生在第三季度,当时政府买家打开了众包安全的水龙头,以响应新的联邦民事机构指令,例如,将漏洞披露作为一项关键要求。
2021年安全趋势
在去年备受关注的高级安全趋势中,勒索软件2021年“成为主流”,超越了个人数据泄露,引发了政府对类似去年五月在殖民管道上据报道。
事实上,就在上周,俄罗斯联邦安全局据报告的它突袭了25个地点,从REvil ransomware团伙手中没收了价值超过560万美元的资产,有效地清算了该团伙。
拜登政府也采取了强硬路线去年针对勒索软件行为者,扩大了政府的网络防御和打击攻击的策略。
尽管著名的软件集团关闭的商店去年,其他人已经站出来接替他们的位置,Bugcrowd注意到了目前正在发生的ransomware攻击的演变。
研究人员在报告中写道:“我们现在看到勒索软件团伙将精益创业原则应用到他们的运营中。“他们从骷髅队制造散弹、投机攻击和粗暴地要求他们在密码中的奖励开始。在一两次成功的攻击后,这些团队将支付的赎金视为种子资本,用它来发展他们的业务,投资更好的软件、人才和开发。”
研究人员指出,最精英的软件集团现在运行的流程包括详细的侦察/研究,以确定目标,先进的通信和媒体关系,以激起恐惧并增加支付发生的可能性。他们说,这些过程还包括跟踪关键漏洞,以发现组织尚未发现的漏洞,这增加了组织对主动安全方法的需求。
这供应链也在2021年成为“主要攻击面”,根据报告,这将对组织在2022年如何应对漏洞和安全产生影响。
研究人员表示,尽管这一趋势已经创造了“扫描仪和自动化工具的蓬勃发展的行业”,但组织今年将需要开始像威胁行为者一样思考,并利用道德黑客和其他众包安全解决方案的帮助来保护供应链。
他们写道:“只有将弱点转化为优势的方法——通过采用与攻击者相同的工具、技术和思维方式,在他们之前发现漏洞——才能获得成功。