تجزیه و تحلیل جدید پیش بینی می کند که تعداد آسیب پذیری های گزارش شده در سال 2025 به رکورد بالا می رسد و روند افزایش خطرات امنیت سایبری و افزایش افشای آسیب پذیری را ادامه می دهد.
تجزیه و تحلیل توسط اول
این تجزیه و تحلیل توسط مجمع تیم های پاسخ و امنیت حادثه (اول) ، یک سازمان جهانی که به هماهنگی پاسخ های امنیت سایبری کمک می کند ، منتشر شد. این پیش بینی تقریباً 50،000 آسیب پذیری در سال 2025 ، افزایش 11 ٪ بیش از سال 2024 و افزایش 470 ٪ از سال 2023 است. این گزارش حاکی از آن است که سازمان ها باید از اقدامات امنیتی واکنش پذیر به یک رویکرد استراتژیک تر تغییر کنند که اولویت بندی آسیب پذیری ها بر اساس ریسک ، برنامه ریزی تلاش های پچ پچ موثر و آماده سازی برای افزایش در مورد جاه طلبی پس از افزایش در مورد فساد در مورد دفع ها ، به جای افزایش در مورد دفع ها ، و نه پس از آنکه در حال افزایش است و در مورد افزایش در مورد دفع در مورد دفع ها ، و نه پس از افزایش در مورد دلهره ها.
چرا آسیب پذیری ها افزایش می یابد؟
سه روند وجود دارد که باعث افزایش آسیب پذیری ها می شود.
1. کشف AI محور و گسترش منبع باز در حال تسریع در افشای CVE است.
هوش مصنوعی کشف آسیب پذیری است ، از جمله یادگیری ماشین و ابزارهای خودکار ، تشخیص آسیب پذیری در نرم افزارها را آسانتر می کند که به نوبه خود منجر به گزارش های بیشتر CVE (آسیب پذیری های مشترک و قرار گرفتن در معرض) می شود. هوش مصنوعی به محققان امنیتی اجازه می دهد تا مقادیر بیشتری از کد را اسکن کنند تا به سرعت نقص هایی را که با استفاده از روشهای سنتی بدون توجه به آن می روند ، شناسایی کنند.
بیانیه مطبوعاتی نقش هوش مصنوعی را برجسته می کند:
“نرم افزار بیشتر ، آسیب پذیری های بیشتر: اتخاذ سریع نرم افزار منبع باز و کشف آسیب پذیری AI محور ، شناسایی و گزارش نقص ها را آسانتر کرده است.”
ترتیب. جنگ سایبری و حملات تحت حمایت دولت
حملات تحت حمایت دولت در حال افزایش است که به نوبه خود منجر به کشف بیشتر این نوع آسیب پذیری ها می شود.
بیانیه مطبوعاتی توضیح می دهد:
“فعالیت سایبری تحت حمایت دولت: دولت ها و بازیگران کشور ملت به طور فزاینده ای درگیر عملیات سایبری هستند و منجر به ضعف امنیتی بیشتر می شوند.”
3. تغییر در اکوسیستم CVE
Patchstack ، یک شرکت امنیتی وردپرس ، آسیب پذیری ها را شناسایی و لکه دار می کند. کار آنها به تعداد آسیب پذیری های کشف شده در هر سال می افزاید. Patchstack تشخیص آسیب پذیری و تکه های مجازی را ارائه می دهد. مشارکت Patchstack در این اکوسیستم به افشای آسیب پذیری های بیشتر ، به ویژه مواردی که بر وردپرس تأثیر می گذارد ، کمک می کند.
بیانیه مطبوعاتی ارائه شده به ژورنال موتور جستجو آمده است:
وی گفت: “مشارکت کنندگان جدید در اکوسیستم CVE ، از جمله لینوکس و Patchstack ، بر الگوهای افشای اطلاعات تأثیر می گذارند و تعداد آسیب پذیری های گزارش شده را افزایش می دهند. Patchstack ، که بر امنیت وردپرس متمرکز است ، در ایجاد آسیب پذیری هایی که ممکن است قبلاً بدون توجه به آن رفته باشد ، نقش ایفا می کند. با گسترش اکوسیستم CVE ، سازمان ها باید استراتژی های ارزیابی ریسک خود را تطبیق دهند تا این چشم انداز در حال تحول را به خود اختصاص دهند. “
Eireann Leverett ، اولین ارتباط و عضو اصلی تیم پیش بینی آسیب پذیری اول ، رشد تسریع آسیب پذیری های گزارش شده و نیاز به مدیریت ریسک فعال را برجسته کرد ، با بیان:
وی گفت: “برای یک سایت تجارت الکترونیکی کوچک و متوسط ، وصله آسیب پذیری ها به طور معمول به معنای استخدام شرکای خارجی در زیر SLA برای مدیریت تکه ها و به حداقل رساندن خرابی است. این شرکت ها معمولاً هر CVE را به صورت جداگانه تجزیه و تحلیل نمی کنند ، اما آنها باید افزایش تقاضا برای تأمین کنندگان IT شخص ثالث خود را برای نگهداری برنامه ریزی شده و بدون برنامه ریزی پیش بینی کنند. در حالی که آنها ممکن است ارزیابی های دقیق ریسک را در داخل انجام ندهند ، می توانند در مورد فرآیندهای مدیریت ریسک تیم های فناوری اطلاعات یا شرکای خارجی خود سؤال کنند. در مواردی که اشخاص ثالث ، مانند SOCS یا MSSP درگیر هستند ، بررسی SLA ها در قراردادها از اهمیت ویژه ای برخوردار می شود.
برای شرکت های سازمانی ، اوضاع مشابه است ، اگرچه بسیاری از تیم های داخلی دارند که ارزیابی های ریسک کمی سختگیرانه تر و کمی در یک ثبت دارایی گسترده (و بعضا ناقص) انجام می دهند. این تیم ها برای انجام ارزیابی های اضطراری و آسیب پذیری های فردی باید مجهز شوند ، که اغلب بین سیستم های مأموریت بحرانی و غیر بحرانی تمایز قائل می شوند. ابزارهایی مانند SSVC (https://www.cisa.gov/ssvc-calculator) و EPSS (https://www.first.org/epss/) می توانند برای اطلاع رسانی در اولویت بندی با استفاده از کارخانه در پهنای باند ، ذخیره سازی پرونده و عنصر انسانی در نگهداری و خطرات در معرض خطر قرار بگیرند.
پیش بینی های ما به منظور کمک به سازمانها به صورت استراتژیک منابع یک سال یا بیشتر از قبل طراحی شده است ، در حالی که SSVC و EPS یک دیدگاه تاکتیکی از آنچه امروزه بسیار مهم است ارائه می دهند. به این معنا ، پیش بینی آسیب پذیری مانند یک Almanac است که به شما در برنامه ریزی ماه های باغ خود کمک می کند ، در حالی که یک گزارش هواشناسی (از طریق EPSS و SSVC) انتخاب لباس روزانه شما را راهنمایی می کند. در نهایت ، این مسئله به این نتیجه می رسد که می خواهید استراتژی مدیریت آسیب پذیری خود را برنامه ریزی کنید.
ما دریافتیم که هیئت مدیره ، به ویژه ، از درک این که موج آسیب پذیری در حال افزایش است ، قدردانی می کنند. تحمل ریسک کاملاً مشخص برای جلوگیری از عدم کنترل هزینه ها ضروری است ، و این پیش بینی ها به نشان دادن بار کار و پیامدهای هزینه تعیین آستانه های مختلف ریسک برای تجارت کمک می کند. “
نگاه به جلو به سال 2026 و فراتر از آن
پیش بینی اول پیش بینی می کند که بیش از 51000 آسیب پذیری در سال 2026 فاش می شود ، و این نشان می دهد که خطرات امنیت سایبری همچنان افزایش می یابد. این امر بر نیازهای فزاینده به مدیریت ریسک فعال به جای تکیه بر اقدامات امنیتی واکنشی تأکید می کند.
برای کاربران نرم افزاری مانند وردپرس ، روش های مختلفی برای کاهش تهدیدهای امنیت سایبری وجود دارد. Patchstack ، WordFence و Sucuri هر کدام رویکردهای مختلفی را برای تقویت امنیت از طریق استراتژی های دفاعی فعال ارائه می دهند.
غذای اصلی:
- آسیب پذیری ها در حال افزایش است – اول پیش بینی می کند تا 50،000 CVE در سال 2025 ، افزایش 11 درصدی از سال 2024 و 470 ٪ از سال 2023 افزایش یابد.
- AI و پذیرش منبع باز باعث ایجاد افشای آسیب پذیری بیشتری می شوند.
- فعالیت سایبری تحت حمایت دولت ضعف های امنیتی بیشتری را در معرض دید قرار می دهد.
- جابجایی از راکتیو به امنیت فعال برای مدیریت خطرات ضروری است.
پیش بینی آسیب پذیری 2025 را بخوانید:
پیش بینی آسیب پذیری برای سال 2025
تصویر برجسته توسط Shutterstock/Gorodenkoff