近日,奇安信CERT正式對外發(fā)布了《2021年度漏洞態(tài)勢觀察報告》(簡稱《報告》),圍繞漏洞監(jiān)測、漏洞分析與研判、漏洞情報獲取、漏洞風(fēng)險處置等方面描繪過去一年全網(wǎng)漏洞態(tài)勢。
急劇上漲150%,漏洞管理幾多愁
《報告》顯示,2021年奇安信CERT新收錄漏洞信息21664個(其中20206條有效漏洞信息在NOX安全監(jiān)測平臺上顯示),經(jīng)NOX安全監(jiān)測平臺篩選后有14544個敏感漏洞信息觸發(fā)人工研判,其中2124個漏洞影響較大,觸發(fā)了奇安信CERT的應(yīng)急響應(yīng)流程。據(jù)奇安信CERT負(fù)責(zé)人汪列軍介紹,相較于2020年,觸發(fā)應(yīng)急響應(yīng)流程的漏洞數(shù)量增長了150%以上。
結(jié)合CVSS評價標(biāo)準(zhǔn)以及漏洞產(chǎn)生的實際影響,奇安信CERT將漏洞定級分為極危、高危、中危、低危四種等級,低危漏洞利用較為復(fù)雜或?qū)捎眯浴C(jī)密性、完整性造成的影響較低;中危漏洞的影響介于高危漏洞與低危漏洞之間;高危漏洞極大可能造成較嚴(yán)重的影響或攻擊成本較低;極危漏洞無需復(fù)雜的技術(shù)能力就可以利用,并且對機(jī)密性、完整性和可用性的影響極高。在奇安信CERT初步研判過的2124條漏洞中,低危漏洞占比17.43%,中危漏洞占比31.60%,高危漏洞占比50.35%,極危漏洞占比0.62%。
按照漏洞類型來看,其中漏洞數(shù)量占比最高的五種類型分別為:代碼執(zhí)行、信息泄露、權(quán)限提升、拒絕服務(wù)、內(nèi)存損壞。相較而言,這些類型的漏洞通常很容易被發(fā)現(xiàn)、利用,并且可以讓攻擊者完全接管系統(tǒng)、竊取數(shù)據(jù)或阻止應(yīng)用程序運行,因而具有很高的危險性,是安全從業(yè)人員的重點關(guān)注對象。2021年12月爆發(fā)的Apache Log4j2漏洞即屬于代碼執(zhí)行漏洞,并且?guī)缀醪恍枰魏谓换ゲ僮鳎纯蛇h(yuǎn)程執(zhí)行任意代碼,影響范圍極廣,危害性極大。
另外值得注意的是,在2021 年奇安信CERT漏洞庫新增的21,664個漏洞中,存在Exploit(漏洞利用代碼或者工具)的漏洞數(shù)量為4,779個(占漏洞總量的22.06%)、有在野利用漏洞數(shù)量為337個,0day漏洞數(shù)量為23個、APT相關(guān)漏洞數(shù)量為88個。
基于漏洞情報的閉環(huán)運營必不可少
“盡管存在對應(yīng) Exploit(漏洞利用代碼或工具)的漏洞占到了總漏洞數(shù)的22.06%,但其中的大部分并未監(jiān)測到實際利用的發(fā)生。”汪列軍說,《報告》顯示,從公開信息來看,實際存在野外利用的漏洞,僅占漏洞總量的 1 %~2 %左右。漏洞是否真的被利用,還取決于漏洞的可達(dá)性、利用條件和危害程度。
其次,盡管美國國家漏洞庫(NVD)會給出漏洞評分(CVSS,0-10分,往往分?jǐn)?shù)越高就越嚴(yán)重),由于多種技術(shù)層面以外因素的影響,相同CVSS評分的漏洞所能導(dǎo)致實際安全風(fēng)險往往天差地別。同樣 CVSS3 10分的漏洞,就僅在易用性穩(wěn)定性上的差異,就會使Apache Log4j2這樣頂級漏洞與其他同樣 10 分漏洞在實際威脅上判若云泥。
第三,“明星漏洞”存在很強的聚光燈效應(yīng),必然引起安全人員的廣泛關(guān)注。因此,當(dāng)某個軟件出現(xiàn)重大漏洞時,該軟件或者其相關(guān)產(chǎn)品很容易連續(xù)曝光多個漏洞。如:Apache Log4j連續(xù)被曝 4個漏洞、Microsoft Exchange Server在被曝出ProxyLogon 漏洞之后又出現(xiàn)了ProxyShel 等漏洞。但是,由于明星漏洞衍生出來的新漏洞大概率未必有同等的威脅和影響面,需要漏洞情報分析運營團(tuán)隊進(jìn)行深入的研判確認(rèn)其真正的威脅。
從這些角度來看,面對日益嚴(yán)峻的漏洞威脅態(tài)勢,相當(dāng)一部分漏洞并不會對組織造成實際危害,安全人員也并非“無跡可尋”,而是可以基于漏洞情報,確認(rèn)漏洞對于風(fēng)險的影響,完成漏洞處理優(yōu)先級排序,削減組織攻擊面,從而起到事半功倍的效果。
報告下載鏈接:https://www.qianxin.com/threat/reportdetail?report_id=148
