Hơn 28.000 lỗ hổng được phát hiện trong năm 2021
An toàn thông tin - Ngày đăng : 17:29, 15/02/2022
Trong số các lỗ hổng được phát hiện vào năm 2021, hơn 4.100 lỗ hổng có thể khai thác từ xa, khai thác công khai và đã có bản vá hoặc phương án giảm thiểu. Theo công ty bảo mật RBS (Risk Based Security), bằng cách tập trung vào những lỗ hổng bảo mật này các tổ chức có thể giảm thiểu được 86% rủi ro.
Dường như đại dịch COVID-19 đã có một số ảnh hưởng đến những tiết lộ về lỗ hổng, bắt đầu từ quý 1 năm 2020, những thông tin tiết lộ về lỗ hổng thấp hơn đáng kể. RBS cũng nhận thấy rằng việc công bố thông tin lỗ hổng bị chậm lại trong nửa đầu năm 2021, nhưng chúng đã tăng lên trong nửa cuối năm.
Theo thông tin từ phía công ty, trong báo cáo giữa năm 2021, sự chênh lệch về số lỗ hổng được tiết lộ giữa năm 2020 và năm 2021 chỉ là khoảng 400 lỗ hổng. Trong nửa cuối năm, khoảng cách đó đã tăng lên hơn 3.500 lỗ hổng.
Top 10 các sản phẩm có nhiều lỗ hổng bảo mật nhất được phát hiện vào năm 2021 chủ yếu bao gồm các bản phân phối Linux, các thiết bị Pixel của Google. Điện thoại Pixel xếp hạng 12 vào năm 2020 và lên vị trí thứ 5 vào năm 2021, nhưng số lượng lỗ hổng bảo mật gần như không chênh nhau trong cả hai năm.
Một thay đổi đáng kể vào năm 2021 là trong top 10 không có bất kỳ phiên bản Windows nào. Tuy nhiên, trong danh sách các nhà cung cấp hàng đầu, Microsoft đã tụt từ vị trí thứ 2 vào năm 2020 xuống thứ 5 vào năm 2021. Điều này được RBS giải thích là do năm 2020 là "một năm tồi tệ bất thường đối với Microsoft" với gần 1.600 lỗ hổng bảo mật, tăng từ 940 lỗ hổng trong năm trước.
Điều đáng chú ý là 29% lỗ hổng được RBS lập danh mục không có số nhận dạng CVE.
Trong báo cáo của mình, RBS cho biết: "Ngành công nghiệp đang bắt đầu có những bước nhảy vọt trong cách nhìn nhận về quản lý lỗ hổng bảo mật. Các công ty như Gartner đã thấy được sự kém hiệu quả do phụ thuộc vào các máy quét lỗ hổng bảo mật trong khi các cơ quan chính phủ đang thúc đẩy các tổ chức tập trung ưu tiên của mình vào siêu dữ liệu".
"Tất cả những hoạt động này giúp các tổ chức nhận thức được rằng có thể chủ động quản lý rủi ro thay vì luôn phải ứng phó. Khi các doanh nghiệp thực hiện những bước đánh giá các khả năng đó thì các nhóm bảo mật sẽ nhận diện được những thứ ảnh hưởng đến chất lượng của dữ liệu. Để đưa ra các quyết định sáng suốt, họ cần hiểu thông tin toàn diện về lỗ hổng bảo mật và hành động kịp thời là rất quan trọng"./.