近日,奇安信CERT正式對(duì)外發(fā)布了《2021年度漏洞態(tài)勢(shì)觀察報(bào)告》(簡(jiǎn)稱《報(bào)告》)�����,圍繞漏洞監(jiān)測(cè)�、漏洞分析與研判、漏洞情報(bào)獲取����、漏洞風(fēng)險(xiǎn)處置等方面描繪過去一年全網(wǎng)漏洞態(tài)勢(shì)。
急劇上漲150%�,漏洞管理幾多愁
《報(bào)告》顯示,2021年奇安信CERT新收錄漏洞信息21664個(gè)(其中20206條有效漏洞信息在NOX安全監(jiān)測(cè)平臺(tái)上顯示)���,經(jīng)NOX安全監(jiān)測(cè)平臺(tái)篩選后有14544個(gè)敏感漏洞信息觸發(fā)人工研判�,其中2124個(gè)漏洞影響較大,觸發(fā)了奇安信CERT的應(yīng)急響應(yīng)流程���。據(jù)奇安信CERT負(fù)責(zé)人汪列軍介紹�,相較于2020年�����,觸發(fā)應(yīng)急響應(yīng)流程的漏洞數(shù)量增長(zhǎng)了150%以上�����。
結(jié)合CVSS評(píng)價(jià)標(biāo)準(zhǔn)以及漏洞產(chǎn)生的實(shí)際影響�����,奇安信CERT將漏洞定級(jí)分為極危���、高危���、中危、低危四種等級(jí)�,低危漏洞利用較為復(fù)雜或?qū)捎眯浴C(jī)密性�、完整性造成的影響較低��;中危漏洞的影響介于高危漏洞與低危漏洞之間;高危漏洞極大可能造成較嚴(yán)重的影響或攻擊成本較低���;極危漏洞無需復(fù)雜的技術(shù)能力就可以利用�����,并且對(duì)機(jī)密性��、完整性和可用性的影響極高�����。在奇安信CERT初步研判過的2124條漏洞中��,低危漏洞占比17.43%��,中危漏洞占比31.60%����,高危漏洞占比50.35%�,極危漏洞占比0.62%。
按照漏洞類型來看����,其中漏洞數(shù)量占比最高的五種類型分別為:代碼執(zhí)行���、信息泄露、權(quán)限提升����、拒絕服務(wù)、內(nèi)存損壞�。相較而言,這些類型的漏洞通常很容易被發(fā)現(xiàn)�����、利用�����,并且可以讓攻擊者完全接管系統(tǒng)���、竊取數(shù)據(jù)或阻止應(yīng)用程序運(yùn)行���,因而具有很高的危險(xiǎn)性,是安全從業(yè)人員的重點(diǎn)關(guān)注對(duì)象�����。2021年12月爆發(fā)的Apache Log4j2漏洞即屬于代碼執(zhí)行漏洞,并且?guī)缀醪恍枰魏谓换ゲ僮���,即可遠(yuǎn)程執(zhí)行任意代碼,影響范圍極廣�����,危害性極大�。
另外值得注意的是,在2021 年奇安信CERT漏洞庫新增的21,664個(gè)漏洞中���,存在Exploit(漏洞利用代碼或者工具)的漏洞數(shù)量為4,779個(gè)(占漏洞總量的22.06%)�����、有在野利用漏洞數(shù)量為337個(gè)�����,0day漏洞數(shù)量為23個(gè)���、APT相關(guān)漏洞數(shù)量為88個(gè)��。
基于漏洞情報(bào)的閉環(huán)運(yùn)營(yíng)必不可少
“盡管存在對(duì)應(yīng) Exploit(漏洞利用代碼或工具)的漏洞占到了總漏洞數(shù)的22.06%�����,但其中的大部分并未監(jiān)測(cè)到實(shí)際利用的發(fā)生��!蓖袅熊娬f,《報(bào)告》顯示����,從公開信息來看,實(shí)際存在野外利用的漏洞�����,僅占漏洞總量的 1 %~2 %左右����。漏洞是否真的被利用,還取決于漏洞的可達(dá)性���、利用條件和危害程度��。
其次����,盡管美國國家漏洞庫(NVD)會(huì)給出漏洞評(píng)分(CVSS,0-10分�����,往往分?jǐn)?shù)越高就越嚴(yán)重)��,由于多種技術(shù)層面以外因素的影響��,相同CVSS評(píng)分的漏洞所能導(dǎo)致實(shí)際安全風(fēng)險(xiǎn)往往天差地別���。同樣 CVSS3 10分的漏洞,就僅在易用性穩(wěn)定性上的差異���,就會(huì)使Apache Log4j2這樣頂級(jí)漏洞與其他同樣 10 分漏洞在實(shí)際威脅上判若云泥���。
第三,“明星漏洞”存在很強(qiáng)的聚光燈效應(yīng)�,必然引起安全人員的廣泛關(guān)注。因此���,當(dāng)某個(gè)軟件出現(xiàn)重大漏洞時(shí)�,該軟件或者其相關(guān)產(chǎn)品很容易連續(xù)曝光多個(gè)漏洞。如:Apache Log4j連續(xù)被曝 4個(gè)漏洞����、Microsoft Exchange Server在被曝出ProxyLogon 漏洞之后又出現(xiàn)了ProxyShel 等漏洞。但是��,由于明星漏洞衍生出來的新漏洞大概率未必有同等的威脅和影響面��,需要漏洞情報(bào)分析運(yùn)營(yíng)團(tuán)隊(duì)進(jìn)行深入的研判確認(rèn)其真正的威脅����。
從這些角度來看,面對(duì)日益嚴(yán)峻的漏洞威脅態(tài)勢(shì)��,相當(dāng)一部分漏洞并不會(huì)對(duì)組織造成實(shí)際危害�����,安全人員也并非“無跡可尋”���,而是可以基于漏洞情報(bào)�,確認(rèn)漏洞對(duì)于風(fēng)險(xiǎn)的影響�,完成漏洞處理優(yōu)先級(jí)排序,削減組織攻擊面�,從而起到事半功倍的效果�����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
