漏洞数据摘要
本文旨在为读者概述我们在过去15个月中部分渗透测试的结果。这些数据于2025年9月下旬收集。令人震惊的是,这些数据与我们2022年底或2023年进行的先前分析结果差异不大。
已执行测试概览
- 执行测试总数:过去15个月内进行了853次测试。
- 测试页面总数:各项评估中共计56,000个页面。
- 平均发现与报告:
- 每份报告对应1.3次测试。
- 每份报告由1.2名测试员负责。
- 每份报告涵盖95个页面。
- 每份报告平均有13.5项发现。
按服务类型分析的报告总数
| 服务类型 | 数量 |
|---|---|
| 外部网络渗透测试 | 305 |
| 内部网络渗透测试 | 200 |
| Web应用渗透测试 | 190 |
| 假定已失陷测试 | 112 |
| 命令与控制测试 | 47 |
| 云安全测试 | 42 |
按严重程度划分的发现总数
| 严重级别 | 发现数量 |
|---|---|
| 严重 | 138 |
| 高 | 1,876 |
| 中 | 2,730 |
| 低 | 1,875 |
| 信息性 | 1,706 |
严重级别发现
- 弱ADCS配置:52份报告
- 未修补软件:6份报告
- 身份验证缺失和密码重用:5份报告
高级别发现
- 未修补软件:218份报告
- 不受支持的软件:216份报告
- SMB签名未强制执行:138份报告
- 密码策略例外:110份报告
- 多因素身份验证相关问题:108份报告
中等级别发现
- 弱密码策略:171份报告
- 易受攻击及过时组件:163份报告
- 数据丢失防护与出口过滤不足:123份报告
- 敏感数据未加密:117份报告
来自我们最新渗透测试发现的洞察
安全漏洞格局:近期渗透测试的关键启示
在不断发展的网络安全世界中,持续测试对于理解和降低风险至关重要。在过去的15个月中,我们公司完成了853次渗透测试,审查了56,000个页面,发现了约6,619个可能危及客户的漏洞。以下是我们关注到的按服务类型分类的发现。
按服务类型的更多细节
数据显示,在各种渗透测试服务中存在显著风险。值得注意的是,外部网络渗透测试是我们最常见的服务,共有305份报告。此类测试旨在强调保护边界防御的重要性,因为它们通常是应对外部威胁的第一道防线。
其次是内部网络渗透测试,有200份报告,强调了内部安全措施强健的必要性,尤其是在内部威胁和内部漏洞可能导致数据泄露的环境下。
在此期间,我们完成了190次Web应用渗透测试。这一领域尤为关键,因为网络犯罪分子越来越多地以Web应用为目标来获取敏感数据的未授权访问。
假定已失陷测试和C2测试通常是结合进行的,大约有150份报告。请记住,在这种情况下,我们从一个域凭证开始,而不需要像大多数内部测试那样去获取它。
最后,我们的云安全评估有42份报告,这是一项需求持续增长的服务。
需要改进的重点领域
在严重发现中,弱ADCS配置以52份报告位居榜首。此漏洞可在几分钟内允许证书伪造和特权访问,使其成为组织必须优先处理的重大威胁。
另一个主要问题是未修补和不受支持的软件普遍存在,在我们的发现中占据突出位置。存在218个未修补软件实例和216个不受支持软件实例,组织需要优先处理软件卫生以缓解这些常见漏洞。
此外,与**多因素身份验证(MFA)**相关的发现凸显了关键差距。108份报告存在某种类型的MFA问题,这强调了跨系统全面强制执行的紧迫性。有效的MFA实践可以成为防止未授权访问尝试的强大屏障。
结论:是时候采取行动了
BHIS为能够合理分享一切而自豪。这些数据收集和我们的分析方法可能不完美,可能存在固有偏见。但是,它们确实与CISA的主张、Verizon的数据泄露摘要以及其他相关行业标准相当吻合。
因此,为渗透测试做准备很像为应对现代对手做准备。这里选择性地列出了我们持续利用的漏洞。让我们共同努力,让世界变得更美好。我们随时提供帮助。我们在这里支持您的网络安全成熟度。并且,我们在这里挑战现状,并分享所有信息,没有付费墙,没有订阅,只有事实。
感谢阅读! -jd