一区二区三区在线-一区二区三区亚洲视频-一区二区三区亚洲-一区二区三区午夜-一区二区三区四区在线视频-一区二区三区四区在线免费观看

服務(wù)器之家:專注于服務(wù)器技術(shù)及軟件下載分享
分類導(dǎo)航

服務(wù)器資訊|IT/互聯(lián)網(wǎng)|云計算|區(qū)塊鏈|軟件資訊|操作系統(tǒng)|手機(jī)數(shù)碼|百科知識|免費資源|頭條新聞|

服務(wù)器之家 - 新聞資訊 - IT/互聯(lián)網(wǎng) - 奇安信發(fā)布2021漏洞態(tài)勢報告:重點漏洞數(shù)量急劇上漲

奇安信發(fā)布2021漏洞態(tài)勢報告:重點漏洞數(shù)量急劇上漲

2022-03-01 22:33 賽迪網(wǎng) IT/互聯(lián)網(wǎng)

近日,奇安信CERT正式對外發(fā)布了《2021年度漏洞態(tài)勢觀察報告》(簡稱《報告》),圍繞漏洞監(jiān)測、漏洞分析與研判、漏洞情報獲取、漏洞風(fēng)險處置等方面描繪過去一年全網(wǎng)漏洞態(tài)勢。

近日,奇安信CERT正式對外發(fā)布了《2021年度漏洞態(tài)勢觀察報告》(簡稱《報告》),圍繞漏洞監(jiān)測、漏洞分析與研判、漏洞情報獲取、漏洞風(fēng)險處置等方面描繪過去一年全網(wǎng)漏洞態(tài)勢。

急劇上漲150%,漏洞管理幾多愁

《報告》顯示,2021年奇安信CERT新收錄漏洞信息21664個(其中20206條有效漏洞信息在NOX安全監(jiān)測平臺上顯示),經(jīng)NOX安全監(jiān)測平臺篩選后有14544個敏感漏洞信息觸發(fā)人工研判,其中2124個漏洞影響較大,觸發(fā)了奇安信CERT的應(yīng)急響應(yīng)流程。據(jù)奇安信CERT負(fù)責(zé)人汪列軍介紹,相較于2020年,觸發(fā)應(yīng)急響應(yīng)流程的漏洞數(shù)量增長了150%以上。

奇安信發(fā)布2021漏洞態(tài)勢報告:重點漏洞數(shù)量急劇上漲

結(jié)合CVSS評價標(biāo)準(zhǔn)以及漏洞產(chǎn)生的實際影響,奇安信CERT將漏洞定級分為極危、高危、中危、低危四種等級,低危漏洞利用較為復(fù)雜或?qū)捎眯浴C(jī)密性、完整性造成的影響較低;中危漏洞的影響介于高危漏洞與低危漏洞之間;高危漏洞極大可能造成較嚴(yán)重的影響或攻擊成本較低;極危漏洞無需復(fù)雜的技術(shù)能力就可以利用,并且對機(jī)密性、完整性和可用性的影響極高。在奇安信CERT初步研判過的2124條漏洞中,低危漏洞占比17.43%,中危漏洞占比31.60%,高危漏洞占比50.35%,極危漏洞占比0.62%。

奇安信發(fā)布2021漏洞態(tài)勢報告:重點漏洞數(shù)量急劇上漲

按照漏洞類型來看,其中漏洞數(shù)量占比最高的五種類型分別為:代碼執(zhí)行、信息泄露、權(quán)限提升、拒絕服務(wù)、內(nèi)存損壞。相較而言,這些類型的漏洞通常很容易被發(fā)現(xiàn)、利用,并且可以讓攻擊者完全接管系統(tǒng)、竊取數(shù)據(jù)或阻止應(yīng)用程序運行,因而具有很高的危險性,是安全從業(yè)人員的重點關(guān)注對象。2021年12月爆發(fā)的Apache Log4j2漏洞即屬于代碼執(zhí)行漏洞,并且?guī)缀醪恍枰魏谓换ゲ僮鳎纯蛇h(yuǎn)程執(zhí)行任意代碼,影響范圍極廣,危害性極大。

奇安信發(fā)布2021漏洞態(tài)勢報告:重點漏洞數(shù)量急劇上漲

另外值得注意的是,在2021 年奇安信CERT漏洞庫新增的21,664個漏洞中,存在Exploit(漏洞利用代碼或者工具)的漏洞數(shù)量為4,779個(占漏洞總量的22.06%)、有在野利用漏洞數(shù)量為337個,0day漏洞數(shù)量為23個、APT相關(guān)漏洞數(shù)量為88個。

基于漏洞情報的閉環(huán)運營必不可少

“盡管存在對應(yīng) Exploit(漏洞利用代碼或工具)的漏洞占到了總漏洞數(shù)的22.06%,但其中的大部分并未監(jiān)測到實際利用的發(fā)生。”汪列軍說,《報告》顯示,從公開信息來看,實際存在野外利用的漏洞,僅占漏洞總量的 1 %~2 %左右。漏洞是否真的被利用,還取決于漏洞的可達(dá)性、利用條件和危害程度。

其次,盡管美國國家漏洞庫(NVD)會給出漏洞評分(CVSS,0-10分,往往分?jǐn)?shù)越高就越嚴(yán)重),由于多種技術(shù)層面以外因素的影響,相同CVSS評分的漏洞所能導(dǎo)致實際安全風(fēng)險往往天差地別。同樣 CVSS3 10分的漏洞,就僅在易用性穩(wěn)定性上的差異,就會使Apache Log4j2這樣頂級漏洞與其他同樣 10 分漏洞在實際威脅上判若云泥。

第三,“明星漏洞”存在很強的聚光燈效應(yīng),必然引起安全人員的廣泛關(guān)注。因此,當(dāng)某個軟件出現(xiàn)重大漏洞時,該軟件或者其相關(guān)產(chǎn)品很容易連續(xù)曝光多個漏洞。如:Apache Log4j連續(xù)被曝 4個漏洞、Microsoft Exchange Server在被曝出ProxyLogon 漏洞之后又出現(xiàn)了ProxyShel 等漏洞。但是,由于明星漏洞衍生出來的新漏洞大概率未必有同等的威脅和影響面,需要漏洞情報分析運營團(tuán)隊進(jìn)行深入的研判確認(rèn)其真正的威脅。

從這些角度來看,面對日益嚴(yán)峻的漏洞威脅態(tài)勢,相當(dāng)一部分漏洞并不會對組織造成實際危害,安全人員也并非“無跡可尋”,而是可以基于漏洞情報,確認(rèn)漏洞對于風(fēng)險的影響,完成漏洞處理優(yōu)先級排序,削減組織攻擊面,從而起到事半功倍的效果。

報告下載鏈接:https://www.qianxin.com/threat/reportdetail?report_id=148

延伸 · 閱讀

精彩推薦
主站蜘蛛池模板: 亚洲va欧美va国产va天堂影 | 免费99精品国产自在现线 | 九九精品免视频国产成人 | 538亚洲欧美国产日韩在线精品 | 欧美理论片手机在线观看片免费 | 日本暖暖在线 | chinese456老年gay china外卖员gay帮口 | 亚洲成年网站在线777 | 亚洲 日本 天堂 国产 在线 | 我在厨房摸岳的乳HD在线观看 | 国产精品久久久久久久人人看 | 猛吸奶水的老汉 | freehd182d动漫| 色妞视频一级毛片 | 女被男啪到哭 | а天堂中文最新版在线 | va在线视频 | 免费观看韩剧网站在线观看 | 和日本免费不卡在线v | 四川女人偷人真实视频 | 色99在线| 冰山美人调教耻辱h | 精品国产自在现线拍国语 | 99色在线视频 | 亚洲福利天堂 | 国产三级精品久久三级国专区 | 99精品免费在线观看 | 2021年国内自拍| 精品免费久久久久久成人影院 | 精精国产www视频在线观看免费 | 爱爱小视频免费看 | 成年男女免费视频观看性 | 好大好硬好湿好紧h | 美女张开腿让我了一夜 | 青草青青在线视频观看 | 奇米影视77777 | 99资源在线观看 | 精品国产原创在线观看视频 | 四虎永久在线精品国产馆v视影院 | 日韩色综合| 二次元美女互摸隐私互扒 |