漏洞数据摘要
本文旨在向读者概述我们在过去15个月内进行的部分渗透测试结果。这些数据收集于2025年9月底。令人震惊的是,这些数据与我们之前在2022年底或2023年底进行的分析结果差异不大。
测试概述
- 总测试次数:过去15个月内进行了853次测试。
- 测试页面总数:在各种评估中测试了56,000个页面。
- 平均发现和报告:
- 每份报告对应1.3次测试。
- 每份报告由1.2名测试员完成。
- 每份报告涉及95个页面。
- 每份报告平均有13.5个发现项。
按服务类型统计的总报告数
| 服务类型 | 数量 |
|---|---|
| 外部网络渗透测试 | 305 |
| 内部网络渗透测试 | 200 |
| Web应用程序渗透测试 | 190 |
| 假定性入侵测试 | 112 |
| 命令与控制测试 | 47 |
| 云安全测试 | 42 |
按严重性统计的总发现项
| 严重等级 | 发现项数量 |
|---|---|
| 关键 | 138 |
| 高 | 1,876 |
| 中 | 2,730 |
| 低 | 1,875 |
| 信息类 | 1,706 |
关键发现项
- ADCS配置弱:52份报告
- 未修补软件:6份报告
- 认证缺失和密码复用:5份报告
高等级发现项
- 未修补软件:218份报告
- 不受支持的软件:216份报告
- SMB签名未启用:138份报告
- 密码策略例外:110份报告
- 与MFA相关的发现项:108份报告
中等级发现项
- 密码策略弱:171份报告
- 存在漏洞和过时的组件:163份报告
- 数据丢失防护和出站过滤不足:123份报告
- 敏感数据未加密:117份报告
来自我们最新渗透测试发现的见解
安全漏洞概况:近期渗透测试的关键见解
在不断发展的网络安全世界中,持续测试对于理解和降低风险至关重要。在过去15个月里,我们公司完成了853次渗透测试,审查了56,000个页面,发现了大约6,619个可能危及客户的漏洞。以下是按服务类型分类后,引起我们注意的一些发现。
按服务类型细分的更多细节
数据显示,各种渗透测试服务都存在显著风险。值得注意的是,外部网络渗透测试是我们最常见的服务,共305份报告。这项测试旨在强调保护边界防御的重要性,因为它们通常是应对外部威胁的第一道防线。
内部网络渗透测试紧随其后,有200份报告,强调了需要强有力的内部安全措施,特别是在内部威胁和内部漏洞可能导致数据泄露的环境下。
在此期间,我们完成了190次Web应用程序渗透测试。这一领域尤其关键,因为网络犯罪分子越来越多地以Web应用程序为目标,试图未经授权访问敏感数据。
假定性入侵测试和C2测试通常是结合进行的,我们估算这部分约有150份报告。请记住,在这种情况下,我们从一开始就拥有一个域凭据,而不必像大多数内部测试那样去获取它。
最后,我们的云安全评估有42份报告,这是一项需求持续增长的服务。
需要改进的重点领域
在关键发现中,ADCS配置弱以52份报告位居榜首。此漏洞可能在几分钟内导致证书伪造和特权访问,使其成为组织必须优先处理的重大威胁。
另一个主要问题是未修补和不受支持的软件普遍存在,在我们的发现中占据了突出位置。有218例未修补软件和216例不受支持的软件,组织需要优先考虑软件维护以减轻这些常见漏洞。
此外,与多因素认证相关的发现凸显了关键差距。108份报告存在某种类型的MFA问题,这强调了跨系统全面强制实施MFA的紧迫性。有效的MFA实践可以成为防范未授权访问尝试的强大屏障。
结论:是时候采取行动了
BHIS为我们尽可能合理地分享一切而感到自豪。本次数据收集和我们的分析方法可能并不完美,也可能存在固有的偏见。但是,它们与CISA的声明、Verizon的数据泄露摘要以及其他相关行业标准大体一致。
因此,为渗透测试做准备很像为应对现代对手做准备。这里展示的是一系列我们持续利用的漏洞。让我们一起让世界变得更美好。我们在此提供帮助。我们在此支持您的网络安全成熟度。并且,我们在此挑战现状,并分享所有信息——没有付费墙,没有订阅,只有事实。
感谢阅读! -jd