[调查]2021年上半年披露漏洞数量超过1.25万个
Risk Based Security近期发布了两份报告,内容涵盖2021年上半年的数据泄露事件与漏洞,发现上报的数据泄露事件总数有所减少,而披露的漏洞数量增长了。
Risk Based Security公司的数据泄露报告指出,2021年上半年公开披露了1767起数据泄露事件,比去年同期减少了24%。
美国报告的数据泄露事件数量上升了1.5%,截至目前共有188亿条记录被泄露,比2020年上半年的278亿条记录减少了32%。
Risk Based Security执行副总裁Inga Goddijn称,攻击者用来变现的方法越来越多样,同时,在暴露的数据量方面,可预防的错误超过了黑客。
Goddijn表示:“被泄数据量仍然居高不下,再加上尚未确认的第二季度数据泄露规模,这一数字很有可能在不远的将来超过190亿条。”
不过,报告指出,这些数字略微有些误导性,因为外汇交易服务FBS Markets的数据泄露就占了截至6月30日所有被泄记录的85%。
研究人员补充道,352起数据泄露事件涉及勒索软件攻击。
所有数据泄露事件中,电子邮件地址遭泄露的比例保持在40%,而33%的事件涉及口令泄露。2021年,医疗保健企业的数据泄露事件数量最多,截至目前达到了238起。金融和保险公司遭遇了194起数据泄露事件,而制造业则见证了169起,教育机构处理的数据泄露事件数量为138起。
另一份出自Risk Based Security VulnDB(R)团队的另一份报告汇总了2021年上半年披露的12,732个漏洞。
他们发现,2021年上半年披露的漏洞数量比2020年增加了2.8%。
报告中写道:“2021年上半年披露的漏洞中,32.1%没有CVE ID,另外7%尽管分配了CVE ID,却处于‘保留’(RESERVED )状态,意味着CVE/NVD中暂无关于该漏洞的有用信息。”
“2021年上半年,Risk Based Security VulnDB团队平均每天收集80个新漏洞。同时,Risk Based Security每天平均更新200个现有漏洞,补充新解决方案信息、参考和其他元数据。”
从年初到现在披露的所有漏洞中,1425个漏洞是可以远程利用且已有公开漏洞利用程序及缓解方案的。近900个漏洞是可远程利用但根本没有任何缓解方案的。
报告突显的一个问题是企业未能报告数据泄露事件的趋势。
新冠肺炎疫情将人们的关注重点拖离了网络安全,与2020年上半年相比,2021年上半年公开披露的数据泄露事件数量减少了24%。
虽然披露数量下降了,遭暴露的敏感文件数量却仍在增长。2021年1月到6月期间,超过180亿条敏感/机密记录遭暴露,这一数字是Risk Based Security截至目前录得的第二高。
数据泄露被曝数据中,61%涉及姓名曝光,38%暴露了社会安全号码(在美国起到身份证的作用),25%包含住址,22%内含财务信息。
两份报告还根据2021年第二季度的漏洞披露情况排出了十大产品。Debian Linux以628个位列第一;Fedora紧随其后,披露了584个漏洞;openSuSE Leap披露了526个,Ubuntu则是443个。
2021年第二季度漏洞披露十大供应商包括微软(627)、SUSE(590)、Fedora(584)、IBM(547),甲骨文和谷歌(均超过500个)。思科、Canonical和红帽在2021年第二季度披露了400多个漏洞。
报告下载地址:
https://pages.riskbasedsecurity.com/download-the-2021-mid-year-data-breach-quickview-report-today
参考阅读