2020年是網絡安全應用使用量爆表、甚至是創紀錄的一年，所有行業的企業都在攻擊量暴增的嚴峻形勢下投入大量精力來研究網絡安全，以跟上不斷變化的威脅格局。

高危漏洞的發現

在過去的12個月里，Bugcrowd平臺上提交的各類漏洞較往年激增了50%，其中優先級1 (P1)增加了65%，其中涉及到是最關鍵的安全漏洞。

該報告對COVID-19如何重新定義整個行業的網絡安全實踐提供了全面的看法。世界衛生組織(World Health Organization)報告稱，

在疫情爆發后不久，針對其員工的攻擊和針對公眾的電子郵件詐騙增加了500%，主要原因是在一個“遠程第一”的工作世界中，勒索軟件和新的攻擊載體增加了7倍。

軟件行業看到了眾包安全對安全的迫切需求

由于疫情的傳播，深受荼毒的軟件行業看到了各類人群對安全的迫切需求。與2019年全年相比，2020的前10個月提交的漏洞增加了24%。

從整體來看，電腦軟件相關行業公司在提交安全需求時所花費的金額幾乎是其他任何行業的5倍。最值得注意的是，到2020年，軟件行業提交的P1文件幾乎激增了三倍。

Bugcrowd首席執行官阿希什·古普塔(Ashish Gupta)表示:“我們的第一優先報告的清楚發現并表明，所有領先組織都將源于眾包安全作為安全戰略的核心元素。”

[[360804]]

“比較過去幾年數據，我們看到由于快速化轉型和COVID-19大流行造成的威脅增加。漏洞提交數量增加，關鍵漏洞數量也隨之激增，網絡安全需求正在迅速增長，網絡安全總支出平均每季度穩步增長約15-20%。”

API和Android漏洞不斷增加

該報告發現，2020年提交的前10名漏洞，其中8個出現在2019年的名單上。這說明管理已知曉的風險對于大多數企業來說仍然是一個挑戰。

去年，向所有行業提交的申請都有所增加。最值得注意的是，API和物聯網漏洞翻了一番，在Android目標中發現的漏洞翻了三倍多。

對遠程工作的高度關注以及2020年物聯網設備采用的后續增長，使得物聯網設備對網絡罪犯更具吸引力。

人為錯誤是大多數漏洞原因

2020年提交的最多的漏洞來自中斷的訪問控制，而第二多的漏洞與跨站腳本攻擊(XSS)有關。

被破壞的訪問控制漏洞是由人為錯誤造成的，通常可以通過正確使用內置了XSS預防功能的代碼框架來防止。結果，經研究強調了一個事實，人為失誤是安全風險的主要來源。

金融服務業加大對關鍵漏洞的投入

從2020年第一季度到第二季度，金融企業對P1漏洞的支出翻了一番。大流行導致的銀行分行關閉和其他業務流程變化，迫使金融服務行業以比大多數垂直行業更快的速度加速數字化轉型。

這導致了攻擊面的擴大，為了應對這一情況，油氣行業采取了吸引人群的強烈動機，以識別新的風險。這導致金融服務部門在2020年1月至10月提交的申請比2019年全年提交的都多。

對客戶來說，速度是一種競爭優勢。在幾乎所有的行業，道德安全研究人員將在一周或更短的時間內發現漏洞，參與漏洞泄露、攻擊表面、漏洞懸賞或鋼筆測試程序。

在消費者服務和媒體等行業，研究人員往往在不到一天的時間里就能發現漏洞。雖然研究人員通常需要幾天的時間才能找到政府和汽車行業的漏洞，但這些漏洞的風險通常要高得多。

Gupta補充說:“全面發現的速度表明，眾包安全可以為安全團隊和公司提供巨大的價值，這些團隊和公司希望快速推進數字轉型努力，并將新的基礎設施引入網絡。”

“競爭對手也在效仿這種速度，因此，擁有一個眾包的安全平臺就顯得更加重要，這樣一來，有安全需求的公司就可以利用這些專業團隊的專業知識、敏捷性，來確保組織安全。”