2021年は、セキュリティの脆弱性が記録的な年になりました。

セキュリティの欠陥にパッチを適用することは、ITおよびセキュリティの専門家にとって挑戦的で終わりのない雑用です。そして、新しいセキュリティの脆弱性の数が増え続けるにつれて、その雑用は毎年さらに難しくなります。米国国立標準技術研究所の脆弱性データベースの最新の統計に基づくと、セキュリティ上の欠陥の量は5年連続で過去最高を記録しています。

参照：パッチ管理ポリシー(TechRepublic Premium)

12月9日現在2020、の本番コードで見つかった脆弱性の数年は18、400。これまでの2020の統計を分析すると、NISTは記録しました2、966低-リスクの脆弱性、11、777中リスクのもの、および3、657リスクの高い性質のもの。

2020の場合、合計の脆弱性は18、351。いくつかの2、766低リスクとラベル付けされました11、204中リスクとしてランク付けされ、4、381高リスクとして分類されます。過去5年間、毎年で前の年を上回っています、306 合計2019に記録された欠陥、16、510 の 2018、 と 14、645 の 2017。

なぜ脆弱性の数が増え続けるのですか？水曜日に公開されたブログ投稿で、セキュリティプロバイダーK2 Cyber​​SecurityのCEO兼共同創設者であるPravinMadhaniは、いくつかの考えを述べました。トランスフォーメーションとクラウドの採用により、アプリケーションが本番環境に突入する可能性があるとマダニ氏は述べています。これは、プログラミングコードが品質保証テストサイクルをあまり通過していない可能性があることを意味します。また、多くの開発者が、セキュリティ上の欠陥のもう1つのリスク要因となる可能性のある、より多くのサードパーティのレガシーおよびオープンソースコードを利用できた可能性があることも意味します。 Madhani氏によると、最終的には組織はコーディングを改善したかもしれませんが、テストに遅れをとっています。

「これは間違いなく私たちが見たものと一致します」と、バグクラウド。 「最も簡単に言えば、テクノロジー自体が加速しており、脆弱性はソフトウェア開発に固有のものです。これは確率ゲームであり、作成されるソフトウェアが多いほど、より多くの脆弱性が存在します。拡散の観点から、発見の観点からは、影響は少なくなります。問題は、導入しやすく、見つけやすく、したがってより頻繁に報告される傾向があります。」

参照：パスワード違反：ポップカルチャーとパスワードが混合しない(無料のPDF)(TechRepublic)

最新のNISTデータの明るい点の1つは、リスクの高い脆弱性の数が比較的少ないことです。 。 3、6572020の高リスクとラベル付けされたものは2020および過去数年間からの下降傾向。この落ち込みを説明するために、Madhaniは、開発者によるコーディング慣行が改善されたために、数値が低くなる可能性が高いと述べました。コーディングサイクルの早い段階でテストを実行する「左シフト」戦略を採用することで、開発者はセキュリティをより重視することに成功しました。

それでも、全体的な結果は依然として憂慮すべきものであり、組織は、脆弱なアプリケーションやその他の資産をすべて追跡しようとすることに直面しています。

「組織が企業に接続されているすべてのIT資産の正確なインベントリを作成することはほぼ不可能になっています」とSevcoSecurityは述べています。共同創設者のグレッグ・フィッツジェラルド。 「これの主な理由は、ほとんどの企業が攻撃対象領域全体を反映していないIT資産インベントリを持っていることです。これは、現代の企業では、ネットワークを超えて、クラウド、パーソナルデバイス、リモートワーカー、およびオンプレミスのすべてのものを含みます。組織は包括的で正確なIT資産インベントリから作業を開始でき、脆弱性はハッカーにとっての価値を維持し、企業に実際のリスクをもたらします。 “

も参照)