查看: 1235|回复: 0
收起左侧

[IT业界] 奇安信发布2021漏洞态势报告:重点漏洞数量急剧上涨

[复制链接]
朦胧的风
发表于 2022-3-1 14:11:58 | 显示全部楼层 |阅读模式
近日,奇安信CERT正式对外发布了《2021年度漏洞态势观察报告》(简称《报告》),围绕漏洞监测、漏洞分析与研判、漏洞情报获取、漏洞风险处置等方面描绘过去一年全网漏洞态势。

急剧上涨150%,漏洞管理几多愁

《报告》显示,2021年奇安信CERT新收录漏洞信息21664个(其中20206条有效漏洞信息在NOX安全监测平台上显示),经NOX安全监测平台筛选后有14544个敏感漏洞信息触发人工研判,其中2124个漏洞影响较大,触发了奇安信CERT的应急响应流程。据奇安信CERT负责人汪列军介绍,相较于2020年,触发应急响应流程的漏洞数量增长了150%以上。



结合CVSS评价标准以及漏洞产生的实际影响,奇安信CERT将漏洞定级分为极危、高危、中危、低危四种等级,低危漏洞利用较为复杂或对可用性、机密性、完整性造成的影响较低;中危漏洞的影响介于高危漏洞与低危漏洞之间;高危漏洞极大可能造成较严重的影响或攻击成本较低;极危漏洞无需复杂的技术能力就可以利用,并且对机密性、完整性和可用性的影响极高。在奇安信CERT初步研判过的2124条漏洞中,低危漏洞占比17.43%,中危漏洞占比31.60%,高危漏洞占比50.35%,极危漏洞占比0.62%。



按照漏洞类型来看,其中漏洞数量占比最高的五种类型分别为:代码执行、信息泄露、权限提升、拒绝服务、内存损坏。相较而言,这些类型的漏洞通常很容易被发现、利用,并且可以让攻击者完全接管系统、窃取数据或阻止应用程序运行,因而具有很高的危险性,是安全从业人员的重点关注对象。2021年12月爆发的ApacheLog4j2漏洞即属于代码执行漏洞,并且几乎不需要任何交互操作,即可远程执行任意代码,影响范围极广,危害性极大。



另外值得注意的是,在2021年奇安信CERT漏洞库新增的21,664个漏洞中,存在Exploit(漏洞利用代码或者工具)的漏洞数量为4,779个(占漏洞总量的22.06%)、有在野利用漏洞数量为337个,0day漏洞数量为23个、APT相关漏洞数量为88个。

基于漏洞情报的闭环运营必不可少

“尽管存在对应Exploit(漏洞利用代码或工具)的漏洞占到了总漏洞数的22.06%,但其中的大部分并未监测到实际利用的发生。”汪列军说,《报告》显示,从公开信息来看,实际存在野外利用的漏洞,仅占漏洞总量的1%~2%左右。漏洞是否真的被利用,还取决于漏洞的可达性、利用条件和危害程度。

其次,尽管美国国家漏洞库(NVD)会给出漏洞评分(CVSS,0-10分,往往分数越高就越严重),由于多种技术层面以外因素的影响,相同CVSS评分的漏洞所能导致实际安全风险往往天差地别。同样CVSS310分的漏洞,就仅在易用性稳定性上的差异,就会使ApacheLog4j2这样顶级漏洞与其他同样10分漏洞在实际威胁上判若云泥。

第三,“明星漏洞”存在很强的聚光灯效应,必然引起安全人员的广泛关注。因此,当某个软件出现重大漏洞时,该软件或者其相关产品很容易连续曝光多个漏洞。如:ApacheLog4j连续被曝4个漏洞、MicrosoftExchangeServer在被曝出ProxyLogon漏洞之后又出现了ProxyShel等漏洞。但是,由于明星漏洞衍生出来的新漏洞大概率未必有同等的威胁和影响面,需要漏洞情报分析运营团队进行深入的研判确认其真正的威胁。

从这些角度来看,面对日益严峻的漏洞威胁态势,相当一部分漏洞并不会对组织造成实际危害,安全人员也并非“无迹可寻”,而是可以基于漏洞情报,确认漏洞对于风险的影响,完成漏洞处理优先级排序,削减组织攻击面,从而起到事半功倍的效果。


https://www.donews.com/news/detail/4/3196116.html

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 01:33 , Processed in 0.135064 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表