2024 年首份软件漏洞报告

news2024/12/23 15:24:59

Action1 Corporation 发布了其首份 2024 年软件漏洞评级报告。

该报告旨在为首席信息安全官 (CISO) 和首席信息官 (CIO) 提供有关其软件生态系统的战略见解。

它根据软件供应商的安全记录对其进行评估,以便做出更明智的采购决策。

此次发布是在国家漏洞数据库 (NVD) 漏洞数据丰富方面持续延迟之后发布的。

Action1 的报告及时洞察了常用企业软件类别中的漏洞趋势。

它特别关注漏洞利用率和远程代码执行 (RCE) 漏洞。

由于 NVD 延迟将通用漏洞和暴露 (CVE) 标识符与 CPE(通用平台枚举)数据关联起来,我们的报告发布得正是时候,为企业软件不断变化的漏洞形势提供了急需的见解。

我们的目标是让关键决策者掌握必要的知识,以便他们在传统对 NVD 的依赖受到挑战的同时,能够使用替代方法优先进行漏洞监控。

该报告强调了网络安全社区共享信息并在私营网络安全公司、学术机构和其他威胁情报平台之间建立更牢固关系的紧迫性。

鉴于 NVD 危机,网络安全社区需要共享信息并在私营网络安全公司、学术机构和其他威胁情报平台之间建立更牢固的关系,以促进全面及时的数据共享,从而让所有组织都能增强其安全态势。

Action1 的研究人员发现,所有企业软件类别中的漏洞总数显著增加。

该报告根据可利用率以及企业软件类别和特定应用程序中 RCE 漏洞的动态,深入探讨了五个主要趋势。

一项重要发现表明,NGINX (100%) 和 Citrix (57%) 等负载均衡器的利用率很高。

根据该报告,负载均衡器中的漏洞构成重大风险,因为一次利用就可以为攻击者提供针对目标网络的广泛访问或破坏能力。

另一项发现强调了 Apple 操作系统的利用率增加。

MacOS 和 iOS 的利用率分别增加了 7% 和 8%。

尽管苹果系统的漏洞总数从 2023 年到 2022 年减少了 29%,但被利用的漏洞却增加了 30% 以上,凸显了针对苹果设备的攻击。

该报告还发现,2023 年 Microsoft SQL Server (MSSQL) 的严重漏洞数量激增 1600%,每个漏洞都是 RCE。

这表明存在重大风险,因为攻击者很快就会发现并利用 MSSQL 中的新 RCE 漏洞。

此外,MS Office 的严重漏洞占年度总体漏洞数量的近 80%,其中 50% 为 RCE。

微软的利用率从 2022 年的 2% 上升至 2023 年的 7%,这表明攻击者如何利用容易出现人为错误的面向用户的软件。

报告中指出的另一个令人担忧的领域是 Edge 安全。

三年内,Edge 的 RCE 漏洞数量激增至 17%,而 2022 年则增长了 500%。

Edge 还报告称,2023 年的利用率为 7%,比上一年增加了 2%。

2024 年软件漏洞评级报告分析了 2021 年、2022 年和 2023 年的数据。

它借鉴了 NVD 和 cvedetails.com 的见解,量化了漏洞并全面展示了威胁形势如何随时间演变。

该报告采用了 Action1 研究团队开发的“利用率”指标,以显示被利用的漏洞占漏洞总数的比例。

该指标可帮助企业评估与供应商软件相关的风险,表明软件的漏洞利用率和漏洞管理计划的全面性。

此外,Action1 还跟踪了 RCE 漏洞,这些漏洞允许攻击者远程执行任意代码,从而可能危及关键系统。

这些发现表明威胁在不断演变,需要采取主动的安全策略,包括及时修补操作系统和第三方应用程序。

Action1 专家建议企业审查其技术堆栈,根据趋势预测未来的漏洞,并不断改善其安全态势,以快速适应新威胁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1859877.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

让在制品管理更有效

徐总的工厂生产线非常繁忙,每天都在不停地运转。但在制品的流转和存储也非常混乱,导致了很多问题的出现。 一方面,由于缺乏有效的管理,在制品的库存不断增加,占用了大量的资金和空间资源。这些库存不仅增加了库存成本&…

从50分到90分,网站性能优化实践

难以置信: 我可是用尊贵的Vue3Ts开发的呢 (手动狗头). 十分抗拒: 迫于yin威,我给网站做了体检和手术. 体检 – 市面上的体检套餐有很多种,但其实都是换汤不换药.那药(标准)是什么呢?我们会在下面说明.这里我选择了谷歌亲儿子"灯塔"(LightHouse)进行性能体检. 体检…

PyTorch中“No module named ‘torch._six‘“的报错场景及处理方法

🎬 鸽芷咕:个人主页 🔥 个人专栏: 《C干货基地》《粉丝福利》 ⛺️生活的理想,就是为了理想的生活! 引入 在使用PyTorch时,您可能会遇到"No module named ‘torch._six’"的错误。这通常是因为PyTorch的某些…

[分布式网络通讯框架]----集群与分布式的区别

单机聊天服务器 聊天系统做了模块化设计,每一个模块都包含很多特定的业务 缺点: 单机聊天服务器极大程度的受限于硬件资源,服务器所能承受的用户并发量是有限的,即使我们通过改变最大连接量等参数,但是受到单机本身…

VUE div的右上角的角标/标签

一、效果图 二、代码 <div class"comp-overview"><div class"overview-item" v-for"(item,index) in overviewInfoList" :key"index"><div class"angle_mark"><span>{{item.label}}</span>&…

CRMEB 多商户Java版v1.6公测版发布,付费会员上线,立即体验

新版本来袭&#xff01;CRMEB 多商户Java版v1.6正式发布&#xff01; 在v1.6新版本中&#xff0c;我们带来了付费会员体系&#xff0c;这将让商业模式更加灵活多元&#xff0c;新增加的移动端商家管理&#xff0c;也让运营触手可及&#xff0c;更加便捷&#xff0c;还有商家端员…

Pixel Heroes Fantasy Editor

使用Pixel Heroes: Fantasy Editor创建令人惊叹的像素角色!它是如何工作的?只需在编辑器中构建角色并保存动画精灵表。运行时动态构建角色使用角色构建器脚本!想将角色与不同的游戏引擎一起使用?只需制作PNG精灵表并导入其他软件! 特征: ● 角色编辑器,用于生成64x64帧的…

【SQL Server数据库】简单查询

目录 用SQL语句完成下列查询。使用数据库为SCHOOL数据库 1. 查询学生的姓名、性别、班级名称&#xff0c;并把结果存储在一张新表中。 2. 查询男生的资料。 3. 查询所有计算机系的班级信息。 4&#xff0e;查询艾老师所教的课程号。 5. 查询年龄小于30岁的女同学的学号和姓名。…

基于Java中的SSM框架实现萌宠优购系统项目【项目源码】计算机毕业设计

基于Java中的SSM框架实现萌宠优购系统演示 研究背景 现在人们在生活中、工作中压力与日俱增&#xff0c;而宠物也在人们的生活扮演者越来越重要的角色。然而&#xff0c;对于一些宠物爱好者来说&#xff0c;宠物早已经是他们生活中不可或缺的一部分。因为宠物能与人有心灵的沟…

【开放词汇分割】GroupViT: Semantic Segmentation Emerges from Text Supervision

论文链接&#xff1a;GroupViT: Semantic Segmentation Emerges from Text Supervision 代码链接&#xff1a;https://github.com/NVlabs/GroupViT/tree/main 作者&#xff1a;Jiarui Xu, Shalini De Mello, Sifei Liu, Wonmin Byeon, Thomas Breuel, Jan Kautz, Xiaolong Wa…

Centos 9Ubuntu 22.0.3图形搭建网桥

1、安装bridge-utils软件 [root@devcops612 ~]# yum install bridge-utils.x86_64 2、创建桥接器 [root@devcops612 ~]# cd /etc/NetworkManager/system-connections [root@devcops612 ~]# nmcli connection show #查看网络连接,确认桥接物理接口 [root@devcops612 system…

吴恩达机器学习作业ex4:反向神经网络学习(Python实现)详细注释

文章目录 1.神经网络1.1 可视化数据1.2 模型表示1.3 前馈和成本函数1.4 正则化代价函数 2.反向传播2.1 Sigmoid的导数2.2随机初始化2.3 反向传播2.4梯度检测2.5 正则化神经网络2.6 优化参数 3.可视化隐藏层 1.神经网络 在上一个练习中&#xff0c;您为神经网络实现了前馈传播&…

Steam怎么卸载DLC Steam怎么只卸载DLC不卸载游戏教程

我们玩家在steam中玩游戏&#xff0c;有一个功能特别重要&#xff0c;那就是DLC&#xff0c;其实也就是一款游戏的扩展&#xff0c;很多游戏都有DLC&#xff0c;让游戏玩法特别丰富&#xff0c;比如都市天际线的DLC&#xff0c;给城市中就增加了很多建筑&#xff0c;或者更便捷…

第十二次作业

成功做出insert 点击新增跳转到insert.html 点击增加&#xff0c;跳转回studentinformation2.html 数据表和页面都显示出新增的数据了 成功做出来删除 点击删除按钮 点击确定&#xff0c;丽丽被成功删除&#xff01; 一些代码

【Linux】进程间通信_2

文章目录 七、进程间通信1. 进程间通信分类管道 未完待续 七、进程间通信 1. 进程间通信分类 管道 管道的四种情况&#xff1a; ①管道内部没有数据&#xff0c;并且具有写端的进程没有关闭写端&#xff0c;读端就要阻塞等待&#xff0c;知道管道pipe内部有数据。 ②管道内部…

混合云管道的未来:集成 MinIO、Tailscale 和 GitHub Actions

数据处理是现代软件开发的基本实践。它使团队能够自动收集、处理和存储数据&#xff0c;确保高质量的数据和高效的处理。 在本文中&#xff0c;我们将探讨如何建立一个全面的数据处理管道&#xff0c;重点介绍如何使用 Tailscale GitHub Action 进行安全网络。此设置还将包含 …

MindManager2024思维导图大升级!轻松绘制思维导图

思维导图大升级&#xff01;MindManager2024新体验 最近在用MindManager2024制作思维导图&#xff0c;感觉它是一款非常专业的软件。它的界面设计简洁明了&#xff0c;操作流畅&#xff0c;让我能够轻松地整理思绪、规划计划和记录灵感&#x1f4a1;。 MindManager思维导图工具…

电商平台是申请ICP许可证还是EDI许可证?

随着直播行业大火热&#xff0c;越来越多的企业开始从事电商业务&#xff0c;那么电商平台的&#xff0c;需要办理什么许可证&#xff1f;是ICP许可证还是EDI许可证&#xff1f;今天小编为您详细说明一下。 首先&#xff0c;不管是ICP许可证还是EDI许可证&#xff0c;都属于增…

写一个坏越的个人天地(三)

昨天卡巴卡巴还是投出了学习代码以来的第一份简历,遇到好的岗位还是想争取下的吧,虽然我觉得大概率还是gg了。 昨天完成了首页的上半部分 下半部分我的构思是左右栏,左侧为菜单栏,右侧为业务栏,左侧调整右侧router进行切换内容 可以用来展示js css的小demo 稍微调整下ro…

ONLYOFFICE8.1版本震撼来袭

目录 软件简介 产品概述&#xff1a; 功能特点&#xff1a; 技术原理&#xff1a; 版本与部署&#xff1a; 8.1版本更新 全新的PDF编辑器 1.文本编辑 2.页面处理 &#xff08;添加、旋转、删除&#xff09; 3.插入和调整各种对象&#xff0c;例如表格、形状、文本框、…