2024年教会了我们关于安全漏洞的知识

从零日漏洞到广泛使用的软件和硬件的弱点，去年发现的漏洞凸显了威胁行为者的策略和组织防御中的关键差距。

本综述展示了2024年网络安全报告中的突出发现，强调了需要关注的关键风险和新出现的威胁。无论您是安全领导者、IT专业人员还是有网络安全意识，这些见解都将帮助您制定保持弹性所需的优先事项和策略。

零日主导了最常被利用的漏洞

被利用的顶级漏洞列表包括影响广泛使用的企业产品的严重问题。值得注意的是Citrix NetScaler（CVE-2023-3519），它允许远程代码执行，以及Cisco IOS XE（CVE-2023-20198），它旨在升级特权。此外，影响Apache的Log4j库的Log4Shell漏洞（CVE-2021-44228）继续被利用，因为它在各种软件应用程序中广泛使用，即使在首次披露两年后也是如此。

重大漏洞在高风险部门仍然存在

在所有站点复杂性中，金融和保险业（FSI）的关键漏洞数量最多，小型FSI站点有565个，中型站点有580个，大型站点有154个。第二高的行业是医疗保健和社会援助，小型、中型和大型站点分别有367、486和139个关键漏洞。

50%的金融组织在其应用程序中存在高度严重的安全缺陷

Veracode研究人员发现，金融部门40%的所有应用程序都有担保债务（一年以上仍未修复的缺陷），这比42%的跨行业平均水平略好。此外，只有5.5%的金融部门申请是无缺陷的，而其他行业的这一比例为5.9%。虽然拥有担保债务的金融部门应用程序略少，但它们积累了更多。

75%的新漏洞在19天内被利用

该报告强调了补救工作的关键差距，平均修补时间超过100天，与75%的新漏洞在19天或更短时间内被利用的发现形成鲜明对比。Skybox发现，近一半的新发现的漏洞被归类为高或严重。

严重漏洞平均需要4.5个月才能补救

平均已知被利用的漏洞（KEV）在6个月内（中位数174天）得到解决，而非KEV可能需要超过1.7年（621个中位数天）。尽管与非KEV相比，KEV的补救速度更快，但超过60%的补救是在CISA规定的最后期限后进行的。

网络犯罪分子利用漏洞的速度越来越快

Fortinet遥测发现，41%的组织检测到不到一个月的签名漏洞，98%的组织检测到存在至少五年的N-Day漏洞。

组织正在明知故犯地发布易受攻击的应用程序

随着更多需要保护的软件部署在更多环境中，保护它的时间更少，91%的公司明知故犯地发布了易受攻击的应用程序。

文章来源：helpnetsecurity