US-CERT фиксирует рост числа уязвимостей 4-й год подряд
21/12/20
В 2020 году Компьютерная команда экстренной готовности США (US-CERT) внесла в Национальную базу уязвимостей 17 447 новых уязвимостей – четвертый подряд рекордный показатель за год (предыдущий рекорд был зафиксирован в 2019 году – 17 306).
По данным Национального института стандартов и технологий США (NIST), в нынешнем году было зафиксировано 4168 высокоопасных, 10 710 среднееопасных и 2569 малоопасных уязвимостей. Для сравнения, в 2019 году было зафиксировано 4337 высокоопасных, 10 956 среднееопасных и 2013 малоопасных уязвимостей.
Рост из года в год числа обнаруживаемых уязвимостей наталкивает на мысль: стали ли разработчики использовать больше уязвимого кода, или исследователи безопасности улучшили свои навыки по поиску уязвимостей? Учитывая текущие обстоятельства и растущую популярность программ bug bounty, эксперты считают, что оба фактора сыграли свою роль.
В нынешнем году также зафиксирован существенный рост в сфере краудсорсинговой кибербезопасности. Как сообщает краудсорсинговая ИБ-платформа Bugcrowd, за последние 12 месяцев количество отчетов исследователей безопасности об обнаруженных уязвимостях увеличилось на 50%. Число сообщений о критических уязвимостях, являющихся приоритетными для исправления, возросло на 65%.
Платформа HackerOne также подтвердила рост числа отчетов об уязвимостях. Более трети всех 180 тыс. уязвимостей, внесенных через HackerOne, были обнаружены в нынешнем году. В течение первого месяца карантина, введенного из-за пандемии коронавируса, количество сообщений об уязвимостях выросло на 28%, а сумма вознаграждений, выплаченных компаниями в рамках программ bug bounty за этот период, увеличилась на 29%.
В 2020 году Microsoft и Oracle трижды выпускали обновления безопасности в один и тот же день. В течение восьми месяцев в рамках «вторника исправлений» Microsoft исправляла более 110 уязвимостей каждый месяц. В июне и сентябре число патчей достигало 129.