Risk Based Security 的 VulnDB 團隊發(fā)布的一份《2020 年中漏洞速覽報告》指出,受疫情影響,在第一季度的披露漏洞數(shù)量低于平常水平之后;目前,主要技術公司披露的漏洞數(shù)量已逐漸恢復到正常水平。2020 年上半年眾公司共披露了 11,121 個漏洞,按著這一的發(fā)展趨勢,今年披露的漏洞總數(shù)或有望超過去年。
報告稱,在年中匯總的 11,121 個漏洞中,有 818 個是“Vulnerability Fujiwhara Effect”的結果。這是 Risk Based Security 采用的一個術語,用來描述微軟和甲骨文漏洞披露時間表相撞的事件。
針對現(xiàn)如今科技公司都選擇在同一天公開發(fā)布所有最新漏洞的這一趨勢。Risk Based Security 公司漏洞情報副總裁 Brian Martin 批評稱,“我們知道,這些事件無疑會給 IT 人員和漏洞管理員帶來重大的壓力。在 4 月份的 Fujiwhara 活動中,我們看到了包含 506 個新漏洞的報告,其中 79% 來自 7 家廠商。不幸的是,對我們所有人來說,這很可能是我們可以預期的,未來會更頻繁地發(fā)生的事件。龐大的數(shù)量讓人不禁要問,這種一次全部披露漏洞的做法到底讓誰受益。當然不是付費客戶。”
該報告通過列出和細分漏洞數(shù)量最高的供應商和產品,進一步詳細介紹了披露領域。其中最值得注意的是微軟,與 2019 年全年相比,該公司在 2020 年前六個月內披露的漏洞數(shù)量去年同期的 762 條相比增長了 150%,遠遠超過其他所有供應商;Windows10 則是第二季度末漏洞披露最多的產品。
此外,令人擔憂的是,在 2020 年上半年披露的漏洞中,有 30% 的漏洞沒有 CVE ID。另外有 3% 的漏洞雖然分配了 CVE ID,但仍處于保留狀態(tài),這意味著依舊沒有有關該漏洞的信息。
Martin 稱,“鑒于所披露的漏洞數(shù)量太過龐大,依靠 CVE/NVD 的組織將難以找到及時和可操作的情報。NVD 內發(fā)現(xiàn)的最低限度的元數(shù)據(jù)不足以讓組織正確地確定優(yōu)先級以及進行補救。通過依靠 CVE 來提供完整和及時的數(shù)據(jù),組織自身的風險正在增加。目前組織每天面臨的漏洞披露水平已經超出了 CVE 的處理能力,而且只會變得更糟。”
責編AJX
-
微軟
+關注
關注
4文章
6591瀏覽量
104027 -
漏洞
+關注
關注
0文章
204瀏覽量
15368 -
Win10
+關注
關注
2文章
710瀏覽量
39980
發(fā)布評論請先 登錄
相關推薦
評論