2020年是網絡安全應用使用量爆表、甚至是創(chuàng)紀錄的一年，所有行業(yè)的企業(yè)都在攻擊量暴增的嚴峻形勢下投入大量精力來研究網絡安全，以跟上不斷變化的威脅格局。

高危漏洞的發(fā)現(xiàn)

在過去的12個月里，Bugcrowd平臺上提交的各類漏洞較往年激增了50%，其中優(yōu)先級1 (P1)增加了65%，其中涉及到是最關鍵的安全漏洞。

該報告對COVID-19如何重新定義整個行業(yè)的網絡安全實踐提供了全面的看法。世界衛(wèi)生組織(World Health Organization)報告稱，

在疫情爆發(fā)后不久，針對其員工的攻擊和針對公眾的電子郵件詐騙增加了500%，主要原因是在一個“遠程第一”的工作世界中，勒索軟件和新的攻擊載體增加了7倍。

軟件行業(yè)看到了眾包安全對安全的迫切需求

由于疫情的傳播，深受荼毒的軟件行業(yè)看到了各類人群對安全的迫切需求。與2019年全年相比，2020的前10個月提交的漏洞增加了24%。

從整體來看，電腦軟件相關行業(yè)公司在提交安全需求時所花費的金額幾乎是其他任何行業(yè)的5倍。最值得注意的是，到2020年，軟件行業(yè)提交的P1文件幾乎激增了三倍。

Bugcrowd首席執(zhí)行官阿希什·古普塔(Ashish Gupta)表示:“我們的第一優(yōu)先報告的清楚發(fā)現(xiàn)并表明，所有領先組織都將源于眾包安全作為安全戰(zhàn)略的核心元素。”

[[360804]]

“比較過去幾年數(shù)據(jù)，我們看到由于快速化轉型和COVID-19大流行造成的威脅增加。漏洞提交數(shù)量增加，關鍵漏洞數(shù)量也隨之激增，網絡安全需求正在迅速增長，網絡安全總支出平均每季度穩(wěn)步增長約15-20%。”

API和Android漏洞不斷增加

該報告發(fā)現(xiàn)，2020年提交的前10名漏洞，其中8個出現(xiàn)在2019年的名單上。這說明管理已知曉的風險對于大多數(shù)企業(yè)來說仍然是一個挑戰(zhàn)。

去年，向所有行業(yè)提交的申請都有所增加。最值得注意的是，API和物聯(lián)網漏洞翻了一番，在Android目標中發(fā)現(xiàn)的漏洞翻了三倍多。

對遠程工作的高度關注以及2020年物聯(lián)網設備采用的后續(xù)增長，使得物聯(lián)網設備對網絡罪犯更具吸引力。

人為錯誤是大多數(shù)漏洞原因

2020年提交的最多的漏洞來自中斷的訪問控制，而第二多的漏洞與跨站腳本攻擊(XSS)有關。

被破壞的訪問控制漏洞是由人為錯誤造成的，通常可以通過正確使用內置了XSS預防功能的代碼框架來防止。結果，經研究強調了一個事實，人為失誤是安全風險的主要來源。

金融服務業(yè)加大對關鍵漏洞的投入

從2020年第一季度到第二季度，金融企業(yè)對P1漏洞的支出翻了一番。大流行導致的銀行分行關閉和其他業(yè)務流程變化，迫使金融服務行業(yè)以比大多數(shù)垂直行業(yè)更快的速度加速數(shù)字化轉型。

這導致了攻擊面的擴大，為了應對這一情況，油氣行業(yè)采取了吸引人群的強烈動機，以識別新的風險。這導致金融服務部門在2020年1月至10月提交的申請比2019年全年提交的都多。

對客戶來說，速度是一種競爭優(yōu)勢。在幾乎所有的行業(yè)，道德安全研究人員將在一周或更短的時間內發(fā)現(xiàn)漏洞，參與漏洞泄露、攻擊表面、漏洞懸賞或鋼筆測試程序。

在消費者服務和媒體等行業(yè)，研究人員往往在不到一天的時間里就能發(fā)現(xiàn)漏洞。雖然研究人員通常需要幾天的時間才能找到政府和汽車行業(yè)的漏洞，但這些漏洞的風險通常要高得多。

Gupta補充說:“全面發(fā)現(xiàn)的速度表明，眾包安全可以為安全團隊和公司提供巨大的價值，這些團隊和公司希望快速推進數(shù)字轉型努力，并將新的基礎設施引入網絡。”

“競爭對手也在效仿這種速度，因此，擁有一個眾包的安全平臺就顯得更加重要，這樣一來，有安全需求的公司就可以利用這些專業(yè)團隊的專業(yè)知識、敏捷性，來確保組織安全。”