近日,奇安信CERT正式发布《2021年度漏洞态势观察报告》(简称《报告》),重点关注漏洞监测、漏洞分析研判、漏洞情报获取、漏洞风险处置等方面描述了过去一年全网的漏洞情况。《报告》显示2021年奇安信CERT新增记录漏洞信息21664条(其中NOX安全监测平台显示有效漏洞信息20206条)。经NOX安全监控平台筛选,触发人工研判的敏感漏洞信息有14544条,其中影响较大的漏洞有2124条,触发了奇安信CERT的应急响应流程。据奇安信CERT负责人王烈军介绍,与2020年相比,触发应急响应流程的漏洞数量增加了150%以上。结合CVSS评估标准和漏洞的实际影响,奇安信CERT将漏洞分为严重、高、中、低四个级别。中等风险漏洞的影响较低;中危漏洞的影响介于高危漏洞和低危漏洞之间;高危漏洞可能造成更严重的影响或攻击成本更低;对机密性、完整性和可用性的影响非常大。奇安信CERT初步研判的2124个漏洞中,低危漏洞占比17.43%,中危漏洞占比31.60%,高危漏洞占比50.35%,危急漏洞占比0.62%。从漏洞类型来看,漏洞占比最高的五种类型分别是:代码执行、信息泄露、提权、拒绝服务和内存损坏。相比之下,这些类型的漏洞通常很容易被发现和利用,并且可以让攻击者完全接管系统、窃取数据或阻止应用程序运行。因此,它们具有很高的危险性,是安全从业者关注的焦点。.2021年12月爆发的ApacheLog4j2漏洞为代码执行漏洞,无需任何交互操作即可远程执行任意代码,影响范围广,危害极大。另外值得注意的是,奇安信CERT漏洞库2021年新增的21664个漏洞中,存在4779个漏洞(漏洞利用代码或工具)(占漏洞总数的22.06%),且存在漏洞利用。漏洞个数337个,0day漏洞个数23个,APT相关漏洞个数88个。基于漏洞情报的闭环操作必不可少”虽然有漏洞对应Exploit(利用代码或工具)占漏洞总数的22.06%,大部分未检测到实际利用的发生。”王烈军说,《报告》表明,从公开信息来看,实际上存在被野蛮利用的漏洞,仅占漏洞总数的1%~2%左右。一个漏洞是否真的被利用还取决于漏洞的可及性、利用条件和危害程度。其次,虽然美国国家漏洞数据库(NVD)会给出漏洞评分(CVSS,0-10分,评分越高越严重),由于受技术水平以外的各种因素的影响,同一个被CVSS打分的漏洞,往往会导致实际的安全风险大相径庭。同理,对于CVSS3中10分的漏洞,易用性和稳定性的差异会让顶级ApacheLog4j2等漏洞与其他同10分的漏洞不同,实际威胁不同三是“明星漏洞”聚光灯效应强吸引了安保人员的广泛关注。因此,当某个软件出现重大漏洞时,该软件或其相关产品很容易继续存在。暴露多个漏洞。例如:ApacheLog4j连续被曝出4个漏洞,MicrosoftExchangeServer在ProxyLogon漏洞被曝出后又被曝出ProxyShel等漏洞。但明星漏洞衍生出的新漏洞不一定具有相同的威胁和影响。一方面,漏洞情报分析运营团队需要深入研判,确认其真正的威胁。从这些角度来看,面对日益严峻的漏洞威胁形势,相当一部分漏洞不会对组织造成实际危害,安全人员“不”,而是可以根据漏洞情报,确认漏洞的影响在风险方面,完成漏洞处理的优先级排序,减少组织的攻击面,达到事半功倍的效果。报告下载链接:https://www.qianxin.com/threat/reportdetail?report_id=148
