信息來源：安全內(nèi)參

美國國家標準與技術(shù)研究所（NIST）發(fā)布信息圖顯示，2021年報告的漏洞數(shù)量為18378個。

年度報告漏洞數(shù)量五連漲，但2021年的情況與此前幾年在某些方面不太一樣。相比2020年，高嚴重性漏洞數(shù)量略有下降。今年是3446個高嚴重性漏洞，而去年則有4381個。

2021年上報的中風險和低風險漏洞數(shù)量分別為11767個和2965個，均超過了2020年錄得的數(shù)據(jù)。

關于圖表，眾說紛紜。有些人困惑于高嚴重性漏洞減少的原因，而另一些人則表示該報告與他們整年所見相符。

Bugcrowd首席技術(shù)官Casey Ellis稱，從最基本的層面來看，技術(shù)本身一直在加速發(fā)展，而漏洞是軟件開發(fā)所固有的。產(chǎn)出的軟件越多，存在的漏洞也就越多。

至于高、中、低嚴重性漏洞的不同情況，Ellis認為，影響小的問題更容易發(fā)現(xiàn)，通常也就更經(jīng)常報告；而影響大的問題正好相反。

Ellis表示：“高嚴重性問題往往更加復雜，一經(jīng)發(fā)現(xiàn)就會立即修復，對于系統(tǒng)性高嚴重性漏洞，團隊往往還會優(yōu)先安排根源分析，避免未來再次發(fā)生類似問題，因而這種級別的漏洞數(shù)量反而更少。”

K2 Cyber Security首席執(zhí)行官Pravin Madhani稱，高嚴重性漏洞數(shù)量下降的原因可能是開發(fā)人員采用了更好的編碼實踐，并解釋道，很多企業(yè)最近幾年都采納了“安全左移”方法，尋求在開發(fā)過程早期階段就重視確保安全。

Madhani補充說，在很大程度上，上報漏洞數(shù)量總體增加是由于新冠肺炎疫情：疫情迫使全球幾乎每家企業(yè)都以各種方式采用技術(shù)。

“作為企業(yè)數(shù)字化轉(zhuǎn)型和上云旅程的一部分，持續(xù)的新冠肺炎疫情陰霾繼續(xù)推動很多企業(yè)快速上線自己的應用，這意味著代碼可能沒經(jīng)過完整的質(zhì)量保障（QA）流程，且可能使用了更多的第三方代碼、老版代碼和開源代碼，而這些都是出現(xiàn)更多漏洞的風險因素。因此，盡管企業(yè)可能采用了更好的編碼方式，卻可能減少了測試步驟，或者測試不徹底，導致產(chǎn)出了更多漏洞?！?

Viakoo首席執(zhí)行官Bud Broomhead等其他網(wǎng)絡安全專家則認為，考慮到當前坐等惡意黑客利用的漏洞如此之多，這份報告很具警示意味。

新漏洞數(shù)量再破紀錄，加之修復和更新設備的滯后和遲緩，意味著企業(yè)遭入侵的風險比以往任何時候都要高，尤其是通過未修復物聯(lián)網(wǎng)設備入侵。

Vulcan Cyber首席執(zhí)行官Yaniv Bar-Dayan稱，自己最擔心的是不斷增加的安全欠債，網(wǎng)絡安全人員似乎不太可能還清。

如果IT安全團隊沒解決2020年的漏洞，那2021年的漏洞就會累積，也就會越來越難以防御。

Bar-Dayan稱：“SolarWinds供應鏈后門事件這種高級持續(xù)性威脅越來越多，菊花鏈漏洞和漏洞利用程序給數(shù)字化企業(yè)帶來嚴重損害。而整個網(wǎng)絡安全行業(yè)都仍在為此事件善后并從中學習經(jīng)驗教訓?？紤]到IT安全團隊本應早在SolarWinds軟件供應鏈黑客事件發(fā)生之前就修復這些老舊已知漏洞，將所有責任都歸咎于SolarWinds是不公平的?！?

“網(wǎng)絡安全團隊需要做的不僅僅是漏洞掃描。作為一個行業(yè)，我們需要共同進退，更好地評估、管理和緩解網(wǎng)絡風險。否則，我們將被不斷累積的漏洞債務壓垮?！?