在2022年奇安信CERT研判過(guò)的21,034條漏洞信息中，低危漏洞占比2.00%，此類漏洞利用較為復(fù)雜或?qū)捎眯?、機(jī)密性、完整性造成的影響較低;中危漏洞占比40.08%，此類漏洞產(chǎn)生的影響介于高危漏洞與低危漏洞之間，可能需要一些復(fù)雜的配置或?qū)β┒闯晒玫囊筝^高;高危漏洞占比57.72%，此類漏洞極大可能造成較嚴(yán)重的影響或攻擊成本較低;極危漏洞占比0.20%，此類漏洞無(wú)需復(fù)雜的技術(shù)能力就可以利用，并且對(duì)機(jī)密性、完整性和可用性的影響極高。

按照漏洞所屬?gòu)S商數(shù)量排序，其中漏洞數(shù)量占比最高的前十家廠商為：Microsoft、Apple、Oracle、Google、開(kāi)放源代碼項(xiàng)目、Cisco、Adobe、Linux、Apache、VMware。Microsoft、Apple、Oracle這類商業(yè)軟件漏洞多發(fā)，且因?yàn)槠溆泄?jié)奏的發(fā)布安全補(bǔ)丁，為漏洞處置的關(guān)注重點(diǎn)。開(kāi)源軟件和應(yīng)用在企業(yè)中越來(lái)越多的使用，關(guān)注度逐漸攀升。另一方面，部署在網(wǎng)絡(luò)邊界的網(wǎng)絡(luò)設(shè)備在攻防行動(dòng)中占據(jù)了重要地位，因而獲得了安全研究員更為重點(diǎn)的關(guān)注。

在漏洞公開(kāi)后，如何消除漏洞相關(guān)威脅是安全運(yùn)營(yíng)工作的重點(diǎn)之一。眾所周知，漏洞修復(fù)工作是攻防雙方同時(shí)間的“賽跑”。奇安信CERT將漏洞公開(kāi)后、官方發(fā)布漏洞補(bǔ)丁前的這段時(shí)間稱為“漏洞修復(fù)窗口期”，誰(shuí)率先掌握漏洞誰(shuí)就將在攻防對(duì)抗中獲得主動(dòng)。

《報(bào)告》顯示，有65.26%左右的漏洞在被公開(kāi)后6至14天內(nèi)官方才發(fā)布補(bǔ)丁，這一期間漏洞被成功利用的可能性極大，危害程度最高，企業(yè)尤其應(yīng)該注意這一期間的漏洞管理。

值得關(guān)注的是，盡管漏洞數(shù)量增長(zhǎng)很快，高危漏洞數(shù)量占比逐年提升，但能夠被攻擊者利用并在實(shí)戰(zhàn)中對(duì)組織網(wǎng)絡(luò)安全造成實(shí)際危害的漏洞占比并不高。奇安信CERT將0day、APT相關(guān)、發(fā)現(xiàn)在野利用、存在公開(kāi)Exploit/PoC，且漏洞關(guān)聯(lián)軟件影響面較大的漏洞定義為“關(guān)鍵漏洞”。奇安信CERT認(rèn)為，相較于其他漏洞，此類漏洞利用代碼已在互聯(lián)網(wǎng)上被公開(kāi)，或者已經(jīng)發(fā)現(xiàn)在野攻擊利用，并且漏洞關(guān)聯(lián)產(chǎn)品具有較大的影響面，因此威脅程度非常高，是優(yōu)先處置并修復(fù)的對(duì)象。

　　《報(bào)告》顯示，在2022年奇安信CERT漏洞庫(kù)新增的24,039條漏洞信息中，監(jiān)測(cè)到有公開(kāi)Exploit/PoC漏洞數(shù)量為721個(gè)、有在野利用漏洞數(shù)量為238個(gè)、0day漏洞數(shù)量為41個(gè)、APT相關(guān)漏洞數(shù)量為33個(gè)，共標(biāo)記關(guān)鍵漏洞960個(gè)，僅占新增漏洞總量的3.99%。

對(duì)此，奇安信CERT負(fù)責(zé)人汪列軍表示，第一時(shí)間完成所有漏洞的處置工作對(duì)于任意一個(gè)組織而言，都是一件極其困難的工作，應(yīng)當(dāng)基于漏洞實(shí)際的危害和自身業(yè)務(wù)情況，合理安排漏洞處置優(yōu)先級(jí)，確定最優(yōu)的漏洞修復(fù)方案，對(duì)于消除威脅才能起到事半功倍的效果。

汪列軍強(qiáng)調(diào)，基于漏洞情報(bào)的新型漏洞管理模式，能夠在企業(yè)安全運(yùn)營(yíng)過(guò)程起到收集器、過(guò)濾器和富化器的作用，幫助企業(yè)擺脫漏洞處理的泥潭，更加高效的進(jìn)行漏洞處置和管理。

如需漏洞全文請(qǐng)?jiān)L問(wèn)： https://static01-www.qianxin.com/qaxweb/8b887e5c22ec10b1bebe079731a54f15.pdf

xiesc