以上內(nèi)容出自由深信服千里目安全技術(shù)中心深瞳漏洞實(shí)驗(yàn)室出品的《2023漏洞威脅分析報(bào)告》,報(bào)告基于對(duì)2023年全球漏洞情況的跟蹤與分析,全面梳理了漏洞威脅的數(shù)量、類(lèi)型���、危害的全貌,對(duì)2024漏洞威脅的發(fā)展趨勢(shì)和特點(diǎn)做出研判,并提出應(yīng)對(duì)漏洞威脅的針對(duì)性思路和解決方案�。
一組“數(shù)據(jù)清單” 窺見(jiàn)漏洞威脅演變趨勢(shì)
國(guó)家信息安全漏洞庫(kù)(CNNVD)數(shù)據(jù)顯示,漏洞收錄數(shù)量在逐年增長(zhǎng), 超危漏洞占比呈上升趨勢(shì),高危和超危漏洞占比超過(guò)了50%。根據(jù)近10年已知漏洞情況分析,95% 以上被利用漏洞是 2023 年以前漏洞,未修補(bǔ)的漏洞仍在被黑客持續(xù)利用�。2024年,漏洞攻勢(shì)必將愈發(fā)兇猛,各企事業(yè)單位對(duì)于已發(fā)現(xiàn)和存在的漏洞都有必要及時(shí)處置,避免造成更嚴(yán)重?fù)p失。
國(guó)家信息安全漏洞共享平臺(tái)(CNVD)數(shù)據(jù)顯示,在過(guò)去五年中,Web 應(yīng)用漏洞的比例在持續(xù)上升,應(yīng)用程序漏洞的比例則逐步下降,網(wǎng)絡(luò)設(shè)備漏洞的比例略有增加,操作系統(tǒng)漏洞的比例則略有減少�����。2023 年 已 知 被 利 用 漏 洞(KEV)目 錄 和 谷 歌 跟 蹤 0day 漏 洞 利 用 名 單顯示,被 利 用 漏 洞 數(shù) 量 最 多 的 產(chǎn) 品 是Windows��。
2023年,我國(guó)由安全漏洞引發(fā)的威脅趨向于破壞性攻擊�����。信息泄露和管理員訪問(wèn)權(quán)限獲取成為最主要的兩大威脅����。未授權(quán)的信息泄露,可能?chē)?yán)重侵犯?jìng)€(gè)人隱私,引發(fā)財(cái)務(wù)損失,損害商業(yè)信譽(yù),甚至觸發(fā)法律訴訟。攻擊者一旦通過(guò)漏洞獲取管理員權(quán)限,便能夠完全掌控系統(tǒng),訪問(wèn)敏感數(shù)據(jù),修改系統(tǒng)配置,進(jìn)行任意操作�����。
0day 漏洞成為攻防對(duì)抗中的“隱形陷阱”
2023年,0day漏洞利用數(shù)量顯著增加�。谷歌團(tuán)隊(duì)分析,在過(guò)去十年中,尤其是最近三年,0day 漏洞的在野利用事件明顯增長(zhǎng),因?yàn)楹诳屠?0day 漏洞進(jìn)行攻擊時(shí)能夠有效規(guī)避現(xiàn)有的安全防護(hù)措施,從而大幅提升攻擊的成功率。網(wǎng)絡(luò)安全面臨的挑戰(zhàn)威脅日益嚴(yán)峻,建立并提升自身的0day漏洞攻擊獵捕能力對(duì)各企事業(yè)單位的安全來(lái)說(shuō)至關(guān)重要�。
2023年,深瞳漏洞實(shí)驗(yàn)室獵捕到100+個(gè)Web場(chǎng)景下的在野利用0day漏洞,其中一半以上出現(xiàn)在攻防演練場(chǎng)景中?�?梢?jiàn)高可利用 0day 漏洞依然是攻防場(chǎng)景下的主力軍,其中弱口令���、信息泄露漏洞是橫向移動(dòng)主要的漏洞, 其次是SQL 注入漏洞��、API 訪問(wèn)控制漏洞��。隨著攻防對(duì)抗常態(tài)化,將會(huì)有越來(lái)越多的 0day 漏洞被利用于網(wǎng)絡(luò)攻擊,必須提升針對(duì)0day的獵捕和快速處置能力,以有效抵抗未知的威脅����。
開(kāi)源軟件成為漏洞攻擊的“新寵”
數(shù)據(jù)顯示,2023 年較為熱門(mén)的漏洞多數(shù)為開(kāi)源軟件,例如 Apache ActiveMQ 遠(yuǎn)程代碼執(zhí)行漏洞����、Apache RocketMQ 遠(yuǎn)程代碼執(zhí)行漏洞�、Apache OFBiz 遠(yuǎn)程代碼執(zhí)行漏洞等,這些在行業(yè)內(nèi)都屬于影響較大,危害較高的案例�����。
Synopsys 在 2023 年的報(bào)告中分析了 1703 個(gè)代碼庫(kù),其中 96% 包含開(kāi)源代碼,76% 項(xiàng)目全部開(kāi)源�����。其中,84% 的代碼庫(kù)至少包含一個(gè)已知的開(kāi)源漏洞,48% 的代碼庫(kù)包含高危漏洞�����。
由于開(kāi)源組件是開(kāi)放的,沒(méi)有任何形式的保證,使用開(kāi)源軟件會(huì)給下游用戶(hù)帶來(lái)較高的安全風(fēng)險(xiǎn)�����。在使用開(kāi)源軟件時(shí),有必要仔細(xì)評(píng)估其安全風(fēng)險(xiǎn),并采取安全措施��。
智防千里,“政策+技術(shù)”雙重防線抵御威脅
國(guó)家制定了各項(xiàng)法律法規(guī),為數(shù)字化建設(shè)打下堅(jiān)實(shí)的安全基礎(chǔ)�����。為確保國(guó)家網(wǎng)絡(luò)安全和網(wǎng)絡(luò)產(chǎn)品及關(guān)鍵系統(tǒng)的穩(wěn)定運(yùn)行,《網(wǎng)絡(luò)安全法》���、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》等法律法規(guī)先后出臺(tái)����。相關(guān)的信創(chuàng)漏洞國(guó)家標(biāo)準(zhǔn)也在制定中,旨在推動(dòng)漏洞管理工作的制度化、規(guī)范化和法治化,提升各責(zé)任主體的管理水平�����。
深信服基于自身持續(xù)積累的流量類(lèi)樣本,IP��、URL�、漏洞等情報(bào)數(shù)據(jù),安全人員研判知識(shí),進(jìn)行大模型預(yù)訓(xùn)練和微調(diào),構(gòu)建了安全 GPT 檢測(cè)大模型���。安全 GPT 檢測(cè)大模型能夠發(fā)現(xiàn)混淆���、編碼類(lèi)高繞過(guò)流量,并針對(duì) Web 漏洞有良好檢出效果,具有較強(qiáng)Web 0day 漏洞檢測(cè)能力,同時(shí)針對(duì)攻擊成功研判具有較高準(zhǔn)確率。
安全 GPT 檢測(cè)大模型具備了 HTTP 流量理解能力�、代碼理解能力、攻防對(duì)抗理解能力和安全常識(shí)理解能力,類(lèi)似一個(gè)懂攻防���、識(shí)代碼的“虛擬專(zhuān)家”,致力于針對(duì) 0day 等高對(duì)抗攻擊,實(shí)現(xiàn)全覆蓋����、零繞過(guò),并重點(diǎn)識(shí)別傳統(tǒng)檢測(cè)引擎無(wú)法發(fā)現(xiàn)的高對(duì)抗���、混淆類(lèi)未知威脅�����。
網(wǎng)絡(luò)安全是一場(chǎng)長(zhǎng)期的攻防對(duì)抗戰(zhàn)役��。作為網(wǎng)絡(luò)安全領(lǐng)域的從業(yè)者,讓我們攜手共進(jìn),為構(gòu)建一個(gè)更加安全��、穩(wěn)定的網(wǎng)絡(luò)環(huán)境而努力!
關(guān)注【深信服科技】公眾號(hào)或前往官網(wǎng),可免費(fèi)獲取報(bào)告全文�����。
