十年三倍！OT漏洞增长88%！

威努特安全网络 2022-06-15 12:10

2021年业界共检测发布了20175个新漏洞，创下年度新增漏洞数量新高。过去十年业界发布的漏洞总数在2021年累计达到166938个，十年间增长了三倍。

但漏洞增长只是问题的冰山一角。

工控安全失控：OT漏洞增长88%

根据Skybox研究实验室的最新漏洞报告，2021年运营技术(OT)漏洞增加了88%，这些漏洞可用于攻击关键基础设施并使重要系统面临破坏性威胁。OT系统是能源、水、交通、环境控制系统和其他基础设施设备的支撑系统，对OT系统重要资产的攻击可能造成严重的经济损失，甚至危及公共健康和安全。

新增漏洞最多的OT厂商TOP10：

漏洞利用提速，检测响应周期变长

随着2021年新漏洞的涌现，攻击者正在加快漏洞利用的速度。2021年发布的168个漏洞在12个月内被迅速利用——比2020年发布后被利用的漏洞数量多24%。这意味着攻击者和恶意软件开发人员在漏洞武器化方面做得越来越好。

针对已知漏洞的挖矿劫持程序同比增加75%，勒索软件增加了42%。这两个数据都说明恶意软件行业把握“漏洞商机”的能力越来越强。无论是经验丰富的网络犯罪分子还是经验不足的新手，可使用的工具和服务越来越多。

报告中的其他一些亮点数据如下：
– 2021年数据泄露平均损失为424万美元

零日漏洞翻倍增长

根据Google Project Zero的最新报告，2021年零日漏洞创下新高，全年Google检测并披露了58个零日漏洞，是2020年（25个）的两倍还多。

Google Project Zero安全研究员Maddie Stone表示：“2021年野外零日漏洞的大幅上升是由于对这些漏洞的检测和披露增加，并不意味着零日漏洞的利用增加。”

2015年以来年度野外零日漏洞的检测数量

数据来源：Google Project Zero

在2021年观察到的58个野外零日漏洞中，39个是内存损坏漏洞，可细分为：释放后使用(17)、越界读写(6)、缓冲区溢出(4)和整数溢出(4)漏洞。

按照平台划分，大多数野外零日漏洞来自Chromium(14)，其次是Windows(10)、Android(7)、WebKit/Safari(7)、Microsoft Exchange Server(5)、iOS/macOS(5)和IE浏览器(4)。

值得注意的是，14个Chromium零日漏洞中有13个是内存损坏漏洞，其中大部分是释放后使用漏洞。

原文来源：GoUpSec

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施网络空间安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询陈女士 15611262709

稿件合作微信:shushu12121

近期文章