Tehnologija

Količine CVE glave prema 50.000 u 2025. godini, traži analitičare

anketa.plus
Izvor: anketa.plus
Količine CVE glave prema 50.000 u 2025. godini, traži analitičare

Dmitrij Nikolaev – Stock.Adobe.co

Mnogo trendova, posebno veliki pomak za otvorenim izvorima, iza očekivanog nosača u broju otkrivenih ranjivosti

Od

  • Alex Scroxton,Sigurnosni urednik

Objavljeno: 27. februara 2025. 14:30

Glavna mješavina konvergirajućeg trendova vjerovatno će prouzrokovati obezbjeđene zajedničke ranjivosti i izloženosti (Cves) da bi pogodilo najmanje 45.000 – i možda čak i čak 50.000 – tokom 2025. godine, postavljajući novi svjetski rekord.

To je prema forumu timova za odgovor na incident i sigurnosne timove (prvo), bez naknadne organizacije sa sjedištem u sjevernoj Karolini u SAD-u, a to je skoro šest puta veće od 2023. godine.

“Broj prijavljenih ranjivosti nije samo rast, ubrzava se”, rekao je Eireann Leverett, prva veza i vodeći član svojeg tima za prognoziranje ranjivosti. “Sigurnosni timovi više ne mogu priuštiti reaktivnu; moraju predvidjeti i dati prioritet prijetnji prije nego što eskaliraju.”

Firvo Analitičari pripisuju ovom porastu na brojne faktore – prebacivanje tehnoloških mora, promjene politike otkrivanja i svjetski geopolitički haos među njima.

“Kombinacija novih igrača u CVE Ekosustavu, razvijajući se prakse za otkrivanje, novo zakonodavstvo o objavljivanju u Evropi, te brzo širenje napadne površine gori”, rekao je Leverett.

Najvažnije, na tehnološkoj strani, brzo usvajanje otvorenog koda softvera (OSS) i upotreba umjetne inteligencije (AI) alata za pomoć u otkriću ranjivosti, sušili su više mana, i olakšavajući ih da ih natječe.

To je dodao, novi suradnici CVE ekosustavu, poput Linuxa i Patchstacka, također imaju utjecaj na razbojničke količine i ažurira se o tome kako su ranjivosti dodijeljene i prijavljene – zajedno s nekim izazovima za finansiranje – mijenjaju obrasce za finansiranje – mijenjaju obrasce za finansiranje.

I sve veći iznos cyber aktivnosti koje sponzoriše državne vladine aktere – često, ali ne nužno i uvijek kineski, iranski ili ruski – dovodi do više slabosti koje su otkrivene i eksploatirane.

U pogledu viđenih vrsta Cves koji se viđa, primijetilo je da se količina ranjivosti ranjivosti memorije trenutno opadaju, dok su obrnuto, na ranjivosti (XSS) križanja (XSS) na gore.

Gledajući unaprijed, Leverett je rekao da je predvidio daljnji rast 2026. godine, s procijenjenim minimalnim zapreminom od samo manje od 51.300 CVE-a koji se očekuje da se očekuje od 51.300 Cves.

Upravljanje ranjivošću Veliki izazov za cyber profesionalce

Rekao je da je to naglasilo dugoročne izazove oko prakse upravljanja ranjivošću i savjetovali su branitelje da pokušaju razmišljati o takvim stvarima strateški, a ne samo reagirati na objavljivanja.

To što u praksi to znači da bi sigurnosni profesionalici trebali dati prioritet ranjivosti koji predstavljaju najveći rizik od eksploatacije – koristeći prijetnju Intel i prediktivni uvidi – umjesto da se sve pokupe. Istovremeno, timovi i resursi mogu i treba na odgovarajući način smanjiti da optimiziraju izleta i napadaju površinsko upravljanje. Ovdje je ključno, rekao je Leverett, a vođe bi trebali pokušati pronaći načine predviđanja zakrpa “unaprijed”, uključujući potreban zastoj.

Također može biti dobra ideja za promjenu trendova otkrivanja, pokušavajući da predviđamo prestanke izveštaja – to se može lako obaviti oko Microsoftovog zakrpa u utorak, iako se može dokazati u opštem – i izdvajanja resursa na osnovu toga.

Daleko je važnije, rekao je Leverett, kako bi shvatio kako slijed ranjivosti može pogoditi organizaciju – i utjecati na rad sigurnosti, a ne stalno biti na izložbi za sljedeću ranjivost crne labude, poput citrix krvarenja ili log4shell.

“Razumevanje brojeva je jedna stvar, koja djeluju na njih je ono što je zaista važno”, rekao je. “Organizacije koje koriste ove podatke za vođenje njihovog sigurnosnog planiranja mogu umanjiti izloženost, ublažiti rizik i ostati ispred napadača.”

Pročitajte više o sigurnosnim i kodiranjem aplikacija

  • Microsoft utikači dva nula-dana za februar patch utorak

    Napisao: Tom Walat

  • Korisnici Gitopa upozorili su na Patch 3 New Argo CD CDE

    Napisao: Beth Pariseau

  • Microsoftov božićni poklon za cyber timove: nema nula-dana

    Napisao: Alex Scroxton

  • June Patch utorak podmiri dvije greške iz razmjene servera

    Napisao: Tom Walat