仅有不到一半的可利用漏洞被企业修复,GenAI 漏洞更低
仅有不到一半的可利用漏洞被企业修复,GenAI 漏洞更低
Dark Reading 代码卫士 2025-04-22 10:34
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
渗透测试即服务 (PTaaS) 的先锋、攻击性安全服务领先提供商 Cobalt 发布第七份年度《渗透测试现状》报告披露称,在所有可被利用的漏洞中,被组织机构修复的不到一半,而仅有21%的生成式AI app中的漏洞得到修复。
报告旨在描述组织机构当前所应对的漏洞局势并找到安全领导人对其安全态势的理解如何相悖于其组织机构中未修复的威胁数量。基于Cobalt的渗透分析,结合所调研安全领导者的结果,Cobalt 发现,安全领导人对其组织机构安全性有多“安全”的认识与现实之间存在重大差距。
主要研究结果包括:
-
过分自信:
81%的安全领导人对自家公司的安全态势“自信满满”,尽管所发现的31%的安全问题并未被解决。 -
太多漏洞未被修复:
整体而言,企业仅修复了48%的渗透问题,然而,相比严重(超危和高危)漏洞结果而言,这一数字得到大幅改进(69%)。 -
生成式AI (GenAI) 漏洞最易受攻击:
组织机构尤其挣扎于生成式AI大语言模型 (LLM) 网络应用中的漏洞。多数(95%)企业已在去年对这些应用执行了渗透测试,三分之一 (32%) 的测试发现的是严重漏洞。 -
在这些结果中,仅有21%的漏洞得到修复,它们造成的风险包括提示注入、模型操纵和数据泄露。
-
72%的企业将AI攻击列为所面临的最大风险,要高于与第三方软件、已遭利用漏洞、内部威胁和国家黑客风险。
-
仅有64%的企业表示“已准备好修复 genAI 中的所有安全问题”。
-
速度优于安全:
超过一半的安全领导者 (52%) 表示,他们面临以安全为代价追求速度的压力。 -
缺乏软件安全保证:
仅有一半 (50%) 的受访者完全相信可以识别并阻止软件供应商中的漏洞,鉴于82%的受访者被客户/法规部门要求提供软件安全保证,这一结果尤为令人担忧。
Cobalt 公司的首席信息官 Gunter Ollman 提到,“例行渗透测试从未如此重要,尤其是在AI得到快速应用以及漏洞被组织机构安全态势快速引入的情况下。31%的严重漏洞未被修复固然令人担忧,然而至少这些企业意识到了这个问题并能够开发出缓解该风险的策略。未采取进攻性安全方法的组织机构朝增强发动随机性攻击的网络犯罪分子的防御方向,迈出了一大步。如此,他们走在了合规的前面并向客户保证和他们做生意是安全的。”
方法论
该报告分析了两种不同的数据集。大多分析基于Cobalt 公司在执行渗透测试期间收集的数据,不过也通过第三方研究公司 Emerald Research 开展的调研收集了一些洞察作为补充。本报告中所分析的所有渗透测试数据均通过 Cobalt 渗透测试收集,涉及2700多家组织机构。这些渗透测试的元数据已导出到 Cobalt 进攻性安全平台中,这些元数据清洗后,用于删除客户端识别出的和其它敏感详情,并提供给 Cyentia 研究所进行独立分析。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
渗透测试的新标配:火眼发布免费的 Windows 攻击工具集
Cobalt Strike 远程代码执行漏洞安全风险通告第二次更新
原文链接
https://www.darkreading.com/application-security/organizations-fix-less-than-half-vulner
abilities
题图:
Pexels
License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~