如今,該報告已發布至第十屆,分析了各行業全棧安全趨勢,重點指出了常見漏洞、補丁延遲和風險熱點。通過洞察利用程序的可用性、攻擊面暴露情況和修復時間線,它為企業提供了制定更明智、基于風險決策所需的數據。
報告強調了網絡安全中一個持續存在的挑戰:并非所有漏洞都是相同的,有些漏洞雖然發生頻率不高,但一旦被利用,會造成嚴重的破壞——Edgescan將其描述為“高危”風險。盡管有EPSS、CISA KEV、CVSS和SSVC等優先級排序模型可供使用,但由于它們之間存在不一致性,因此很難依靠任何一個框架來做出決策。
補丁管理仍然是生產環境中的一大障礙,這從緩慢的平均修復時間(MTTR)指標中就可以看出。許多企業仍然在提高可見性方面面臨困難,這是降低風險的關鍵因素。令人擔憂的是,早在2015年就已發現的漏洞,至今仍在被用于活躍的勒索軟件和惡意軟件攻擊中。
內部系統尤其容易受到攻擊,攻擊者通常會利用技術棧中的薄弱環節進行鏈式攻擊,從而放大攻擊效果,這使得攻擊面管理(ASM)變得比以往任何時候都更加重要。Edgescan的持續資產分析顯示,敏感系統經常暴露于公共互聯網上,而且往往是在組織不知情的情況下。
最終,這些數據清晰地表明:有效的風險管理取決于提高可見性、整合多個風險模型,以及在漏洞被利用之前解決遺留漏洞。
2025年報告的關鍵發現包括:
• 在全棧中,超過33%的已發現漏洞屬于嚴重或高危級別。
• SQL注入(CWE-89)仍是最常見的關鍵Web應用漏洞,這一趨勢自2022年以來一直持續。
• 嚴重級別的Web應用漏洞的平均修復時間為35天,而面向互聯網的主機/云漏洞的平均修復時間為61天。
• 2024年,共發布了創紀錄的40,009個CVE(通用漏洞披露)。
• 截至2024年底,CISA KEV目錄中包含了1,238個漏洞,其中185個是在該年度內新增的。
• 2024年,有768個CVE被首次公開報道為已在實戰中被利用,占所有已發現漏洞的2%,與2023年相比增加了20%。
企業網D1net(m.hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。