資安企業 EdgeScan 發布 2025 年資安漏洞統計報告,該報告彙整了 2024 年數千次資安評估與滲透測試的成果。邁入第十年的此研究深入探討跨產業的安全趨勢,涵蓋常見漏洞、修補延遲與風險熱點。
該報告從漏洞利用可行性、攻擊面暴露程度及修復時程等關鍵面向進行分析,協助組織建立更有效的風險管理策略。報告強調資安領域中的一項持續挑戰:
資安漏洞的風險程度存在顯著差異。某些發生頻率雖低但具有極高入侵潛力的漏洞,被 EdgeScan 歸類為「高強度」風險。雖然目前有 EPSS、CISA KEV、CVSS 和 SSVC 等多種風險評估框架,但框架之間的差異性使組織難以僅依靠單一框架做出決策。
漏洞修補在正式環境中仍面臨重大挑戰,從平均修復時間(MTTR)的緩慢改善便可看出這點。由於許多組織缺乏完整的系統可視性,導致風險控管效果不彰。更令人憂心的是,部分自 2015 年就已發現的漏洞,至今仍持續被用於勒索軟體和惡意程式的攻擊中。
內部系統的脆弱性需要特別關注,原因在於駭客會串連多個層面的弱點,藉此擴大攻擊範圍,這凸顯了攻擊面管理(ASM)的關鍵性。而 EdgeScan 透過持續性資產盤點發現,許多組織甚至未察覺自身的敏感系統已暴露於公開網路之中。
基於這些發現,有效的風險管理應著重三大關鍵面向:
強化系統可視性、
整合多元風險評估模型,以及
即時修補既有漏洞。
2025 年報告揭示以下重要發現:
- 全技術領域中,已知漏洞超過 33% 屬於重大或高風險等級。
- SQL 注入攻擊(CWE-89)仍為最普遍的重大網頁應用程式漏洞,延續 2022 年以來的趨勢。
- 2024 年 CVE 通報數量達 40,009 個,創下歷史新高。
- 截至 2024 年底,CISA 已知可利用漏洞(KEV)目錄共收錄 1,238 個漏洞,其中 185 個為當年新增。
- 2024 年在野外首次被利用的 CVE 漏洞達 768 個,佔所有發現漏洞的 2%,較 2023 年增加 20%。
本文轉載自 HelpNetSecurity。