近日，奇安信CERT正式對外發(fā)布了《2021年度漏洞態(tài)勢觀察報告》（簡稱《報告》），圍繞漏洞監(jiān)測、漏洞分析與研判、漏洞情報獲取、漏洞風(fēng)險處置等方面描繪過去一年全網(wǎng)漏洞態(tài)勢。

急劇上漲150%，漏洞管理幾多愁

《報告》顯示，2021年奇安信CERT新收錄漏洞信息21664個（其中20206條有效漏洞信息在NOX安全監(jiān)測平臺上顯示），經(jīng)NOX安全監(jiān)測平臺篩選后有14544個敏感漏洞信息觸發(fā)人工研判，其中2124個漏洞影響較大，觸發(fā)了奇安信CERT的應(yīng)急響應(yīng)流程。據(jù)奇安信CERT負(fù)責(zé)人汪列軍介紹，相較于2020年，觸發(fā)應(yīng)急響應(yīng)流程的漏洞數(shù)量增長了150%以上。

結(jié)合CVSS評價標(biāo)準(zhǔn)以及漏洞產(chǎn)生的實際影響，奇安信CERT將漏洞定級分為極危、高危、中危、低危四種等級，低危漏洞利用較為復(fù)雜或?qū)捎眯?、機(jī)密性、完整性造成的影響較低；中危漏洞的影響介于高危漏洞與低危漏洞之間；高危漏洞極大可能造成較嚴(yán)重的影響或攻擊成本較低；極危漏洞無需復(fù)雜的技術(shù)能力就可以利用，并且對機(jī)密性、完整性和可用性的影響極高。在奇安信CERT初步研判過的2124條漏洞中，低危漏洞占比17.43%，中危漏洞占比31.60%，高危漏洞占比50.35%，極危漏洞占比0.62%。

按照漏洞類型來看，其中漏洞數(shù)量占比最高的五種類型分別為：代碼執(zhí)行、信息泄露、權(quán)限提升、拒絕服務(wù)、內(nèi)存損壞。相較而言，這些類型的漏洞通常很容易被發(fā)現(xiàn)、利用，并且可以讓攻擊者完全接管系統(tǒng)、竊取數(shù)據(jù)或阻止應(yīng)用程序運(yùn)行，因而具有很高的危險性，是安全從業(yè)人員的重點關(guān)注對象。2021年12月爆發(fā)的Apache Log4j2漏洞即屬于代碼執(zhí)行漏洞，并且?guī)缀醪恍枰魏谓换ゲ僮?，即可遠(yuǎn)程執(zhí)行任意代碼，影響范圍極廣，危害性極大。

另外值得注意的是，在2021 年奇安信CERT漏洞庫新增的21,664個漏洞中，存在Exploit（漏洞利用代碼或者工具）的漏洞數(shù)量為4,779個（占漏洞總量的22.06%）、有在野利用漏洞數(shù)量為337個，0day漏洞數(shù)量為23個、APT相關(guān)漏洞數(shù)量為88個。

基于漏洞情報的閉環(huán)運(yùn)營必不可少

“盡管存在對應(yīng) Exploit（漏洞利用代碼或工具）的漏洞占到了總漏洞數(shù)的22.06%，但其中的大部分并未監(jiān)測到實際利用的發(fā)生?！蓖袅熊娬f，《報告》顯示，從公開信息來看，實際存在野外利用的漏洞，僅占漏洞總量的 1 %~2 %左右。漏洞是否真的被利用，還取決于漏洞的可達(dá)性、利用條件和危害程度。

其次，盡管美國國家漏洞庫（NVD）會給出漏洞評分（CVSS，0-10分，往往分?jǐn)?shù)越高就越嚴(yán)重），由于多種技術(shù)層面以外因素的影響，相同CVSS評分的漏洞所能導(dǎo)致實際安全風(fēng)險往往天差地別。同樣 CVSS3 10分的漏洞，就僅在易用性穩(wěn)定性上的差異，就會使Apache Log4j2這樣頂級漏洞與其他同樣 10 分漏洞在實際威脅上判若云泥。

第三，“明星漏洞”存在很強(qiáng)的聚光燈效應(yīng)，必然引起安全人員的廣泛關(guān)注。因此，當(dāng)某個軟件出現(xiàn)重大漏洞時，該軟件或者其相關(guān)產(chǎn)品很容易連續(xù)曝光多個漏洞。如：Apache Log4j連續(xù)被曝 4個漏洞、Microsoft Exchange Server在被曝出ProxyLogon 漏洞之后又出現(xiàn)了ProxyShel 等漏洞。但是，由于明星漏洞衍生出來的新漏洞大概率未必有同等的威脅和影響面，需要漏洞情報分析運(yùn)營團(tuán)隊進(jìn)行深入的研判確認(rèn)其真正的威脅。

從這些角度來看，面對日益嚴(yán)峻的漏洞威脅態(tài)勢，相當(dāng)一部分漏洞并不會對組織造成實際危害，安全人員也并非“無跡可尋”，而是可以基于漏洞情報，確認(rèn)漏洞對于風(fēng)險的影響，完成漏洞處理優(yōu)先級排序，削減組織攻擊面，從而起到事半功倍的效果。

報告下載鏈接：https://www.qianxin.com/threat/reportdetail?report_id=148