2021年漏洞CVE数量18378个漏洞，创下历史新高

根据美国商务部国家标准与技术研究所（NIST）国家漏洞数据库（NVD）的报告，2021年漏洞CVE数量已经创下历史新高。

这是NVD连续第五年打破这一新纪录，今年报告了创纪录的18378个漏洞，不过高危漏洞数量从2020年的4381个下降到了3646个。报告的中等风险漏洞数量为11767个，低风险漏洞数量为2965个，均高于去年。

Redscan Cyber Security的研究人员今天对报告中的数字进行了分析，发现到2021年，NIST每天平均记录50个常见漏洞与暴露（CVE）。在这些报告中，90%的漏洞都可以被技术能力有限的攻击者利用，而61%的漏洞不需要用户交互，例如单击链接、下载文件或共享凭据。

并非所有趋势都是负面的。“免权限”漏洞（无需权限即可利用）在2021年下降了55%，低于2020年的59%和2019年的66%。过去12个月具有高机密等级的漏洞（即可能对机密数据产生影响）占比从59%下降53%。

网络风险管理公司Vulcan Cyber的联合创始人兼首席执行官Yaniv Bar-Dayan指出：“更令人担忧的趋势是越来越多的安全债问题。如果IT安全团队无法解决2021年的漏洞，那么就会累积到2022年，并且越来越难以防御。”

企业“物联网”安全平台提供商Viakoo Inc的首席执行官Bud Broomhead指出，尽管今年高危漏洞有所减少，但该报告仍然令人担忧。

Broomhead解释说：“真正的问题是，有多少可利用的漏洞仍然‘在野外’供威胁行为者利用。”“创纪录的新漏洞数量，加上修复漏洞的速度缓慢，意味着组织被攻破的风险比以往任何时候都高，尤其是通过未修补的物联网设备。”

（来源：@GoUpSec）