最近,奇安信CERT《2021年漏洞态势观察报告》(以下简称《报告》)正式发布,围绕漏洞监测、漏洞分析判断、漏洞情报获取、漏洞风险处置等方面描述了过去一年全网漏洞态势。
急剧上升150%,漏洞管理多愁善感
报告显示,2021年奇安信CERT21664个新收录的漏洞信息(其中20206个)NOX显示在安全监控平台上),NOX筛选安全监控平台后,14544个敏感漏洞信息触发人工判断,其中2124个影响较大,触发奇安信CERT应急响应流程。CERT负责人王列军表示,与2020年相比,触发应急响应过程的漏洞数量增加了150%以上。
结合CVSS评价标准以及漏洞产生的实际影响,奇安信CERT将漏洞分为极端危险、高风险、中风险、低风险四个等级,低风险漏洞使用复杂或对可用性、机密性、完整性的影响较低;高风险漏洞与低风险漏洞之间的影响;高风险漏洞可能造成严重影响或攻击成本低;极端危险漏洞无复杂的技术能力,对机密性、完整性和可用性有很高的影响。CERT初步研判过的2124条漏洞中,低危漏洞占比17.43中危漏洞占%31.60%,高危漏洞比例50.35%,极危漏洞比例0.62%。
根据漏洞类型,漏洞数量最高的五种类型是:代码执行、信息泄露、权限提升、拒绝服务和内存损坏。相比之下,这些类型的漏洞通常很容易被发现和使用,攻击者可以完全接管系统,窃取数据或阻止应用程序运行,因此它们非常危险,是安全从业者的焦点。2021年12月爆发Apache Log4j2漏洞属于代码执行漏洞,可以远程执行任何代码,影响广泛,危害极大。
另外值得注意的是,2021年奇安信CERT在漏洞库新增的2164个漏洞中,存在Exploit(使用代码或工具的漏洞数量为479个(占漏洞总数)22.06%)有337个在野使用漏洞,0day23个漏洞,APT88个相关漏洞。
基于漏洞情报的闭环操作至关重要
虽然存在对应 Exploit(漏洞使用代码或工具)占总漏洞数22.06%,但大部分都没有监测到实际使用的发生。王列军说,报告显示,从公共信息来看,现场实际使用的漏洞只占总漏洞的1 %~2 %左右。漏洞是否真的被利用取决于漏洞的可达性、利用条件和危害程度。
其次,尽管美国国家漏洞库(NVD)会给出漏洞评分(CVSS,0-10分数越高,分数越严重)由于技术水平以外各种因素的影响,相同CVSS评分漏洞往往会导致实际安全风险的差异。CVSS3 10分的漏洞,只有易用性稳定性的差异,才会使Apache Log4j2这样,顶级漏洞在实际威胁上与其他 10 分漏洞不同。
第三,明星漏洞具有很强的聚光灯效应,必然会引起安全人员的广泛关注。因此,当软件出现重大漏洞时,软件或其相关产品很容易连续暴露多个漏洞。Apache Log4j连续被曝 4个漏洞、Microsoft Exchange Server在被曝出ProxyLogon 漏洞又出现了ProxyShel 和其他漏洞。然而,由于明星漏洞产生的新漏洞可能没有相同的威胁和影响,漏洞情报分析操作团队需要进行深入的研究和判断,以确认其真正的威胁。
从这些角度来看,面对日益严重的漏洞威胁,相当一部分漏洞不会对组织造成实际伤害,安全人员不是无痕迹,而是基于漏洞情报,确认漏洞对风险的影响,完成漏洞处理优先级,减少组织攻击,用一半的努力得到两倍的结果。
报告下载链接:https://www.qianxin.com/threat/reportdetail?report_id=148