Risk Based Security hat am Montag seinen Schwachstellenbericht für 2021 veröffentlicht und enthüllt, dass im vergangenen Jahr rekordverdächtige 28,695 Schwachstellen offengelegt wurden, was einen deutlichen Anstieg gegenüber den 23,269 im Jahr 2020 offengelegten darstellt.
Von den im Jahr 2021 offengelegten Schwachstellen sind mehr als 4,100 aus der Ferne ausnutzbar, verfügen über einen öffentlichen Exploit und haben auch einen Patch oder eine Minderung. Indem sie sich zuerst auf diese Sicherheitslücken konzentrieren, könnten Unternehmen das Risiko um 86 % reduzieren, so das Unternehmen für Schwachstellen- und Datenschutzverletzungen.
Andererseits, um diese 4,100 in einen Kontext zu stellen, die Katalog bekannter ausgenutzter Schwachstellen verwaltet von CISA, das Probleme verfolgt, die in den letzten zehn Jahren offengelegt wurden, enthält nur 360 Einträge.
Die COVID-19-Pandemie scheint einige Auswirkungen auf die Offenlegung von Schwachstellen gehabt zu haben, beginnend mit dem ersten Quartal 2020, als es eine deutlich geringere Anzahl von Offenlegungen gab. Risk Based Security (RBS) bemerkte auch, dass sich die Offenlegungen in der ersten Hälfte des Jahres 2021 verlangsamten, aber in der zweiten Hälfte des Jahres zunahmen.
„Im Halbjahresbericht 2021 betrug der Unterschied zwischen 2021 und 2020 nur etwa 2021. In der zweiten Jahreshälfte vergrößerte sich dieser Abstand dann um über 400“, sagte das Unternehmen in seinem jüngsten Bericht. „Dies ist ein beträchtlicher Anstieg, was die Idee weiter unterstreicht, dass wir sehen, wie die Offenlegungslandschaft die Pandemie abschüttelt, wenn die Forscher zu ihrer normalen Leistung zurückkehren.“
Was die Produkte mit den meisten im Jahr 2021 entdeckten Schwachstellen betrifft, so gehören zu den Top 10 hauptsächlich Linux-Distributionen. Die Pixel-Geräte von Google schafften es ebenfalls in die Top 10. Pixel-Telefone belegten 12 Platz 2020 und rückten 2021 auf den fünften Platz vor, aber die Anzahl der Schwachstellen war in beiden Jahren ungefähr gleich.
Eine wesentliche Änderung im Jahr 2021 besteht darin, dass die Top 10 keine Version von Windows enthalten. Darüber hinaus ist Microsoft in der Liste der Top-Anbieter von Platz zwei im Jahr 2020 auf Platz fünf im Jahr 2021 zurückgefallen. Dies könnte jedoch damit erklärt werden, dass 2020 – wie RBS es ausdrückt – „ein ungewöhnlich schlechtes Jahr für Microsoft“ war, mit fast 1,600 Schwachstellen, gegenüber 940 im Vorjahr.
Es ist erwähnenswert, dass 29 % der von RBS katalogisierten Schwachstellen keine CVE-Kennung haben.
„Die gute Nachricht ist, dass die Branche beginnt, große Sprünge in ihrer Sicht auf das Schwachstellenmanagement zu machen. Unternehmen wie Gartner erkennen die Ineffizienzen, die durch die Abhängigkeit von Schwachstellen-Scannern verursacht werden, während Regierungsbehörden wie die Cybersecurity Infrastructure and Security Agency darauf drängen, dass Organisationen ihre Priorisierung auf Metadaten wie Ausnutzbarkeit und nicht auf Severit konzentrieren“, sagte RBS in seinem Bericht berichten.
Es fügte hinzu: „All diese Bewegungen lehren Organisationen, dass es möglich sein kann, Risiken proaktiv zu managen, anstatt immer darauf zu reagieren. Wenn Unternehmen die Schritte zur Bewertung dieser Möglichkeiten unternehmen, werden Sicherheitsteams erkennen, dass es auf die Qualität der Daten ankommt. Um fundierte Risikoentscheidungen treffen zu können, werden sie verstehen, dass umfassende, umsetzbare und zeitnahe Schwachstelleninformationen von entscheidender Bedeutung sind und dass sie nicht in öffentlichen Quellen zu finden sind.“
Anfang dieses Jahres kündigte RBS den Kauf an erworben vom Threat-Intelligence-Unternehmen Flashpoint.
Related: Der Telemetriebericht zeigt den Patch-Status hochkarätiger Schwachstellen
Related: Microsoft erklärt, wie Schwachstellenberichte verarbeitet werden
Related: Zahl der ICS-Sicherheitslücken im Jahr 2020 weiter gestiegen: Bericht
Eduard Kovacs (@EduardKovacs) ist ein beitragender Redakteur bei SecurityWeek. Er arbeitete zwei Jahre lang als IT-Lehrer an einer High School, bevor er eine journalistische Karriere als Sicherheitsreporter von Softpedia begann. Eduard hat einen Bachelor-Abschluss in Wirtschaftsinformatik und einen Master-Abschluss in Computertechniken in der Elektrotechnik.
Stichworte:
