面對(duì)如此高比例的高危漏洞,很多企業(yè)估計(jì)都慌了。但從2024年實(shí)際漏洞利用情況來看���,這些“高危漏洞”真正被利用的情況比想象要低很多。根據(jù)微步情報(bào)局2024年全年捕獲攻擊行為統(tǒng)計(jì)���,共涉及利用1600多個(gè)不同漏洞,占2024年整體漏洞4%���。
如果進(jìn)一步對(duì)“高危漏洞”(微步情報(bào)局的定義是“被攻擊者利用”及“已經(jīng)公開可用PoC但尚未捕獲攻擊行為但極有可能被攻擊者利用的漏洞”)進(jìn)行真實(shí)風(fēng)險(xiǎn)量化統(tǒng)計(jì),2024年高危漏洞為1009個(gè)���,占比只有2.51%�,相比2023年(2023年高危漏洞為1046個(gè)����,占比3.58%)比例及實(shí)際數(shù)量均有所下降�。安全團(tuán)隊(duì)如果不能有效識(shí)別真實(shí)的高危漏洞,不僅會(huì)信息過載�,而且很可能大部分安全投入都要打水漂,而真正的“安全炸彈”卻沒有及時(shí)發(fā)現(xiàn)�。
03 漏洞利用“規(guī)模爆炸”,新漏洞“即產(chǎn)即銷”
2024年�,是攻擊者漏洞利用規(guī)模和效率爆發(fā)增長的一年。微步對(duì)1600多個(gè)不同漏洞捕獲到的漏洞利用行為超過54億次����,相比2023年增長31.7%�����,單個(gè)漏洞平均被攻擊337.5萬次�。攻擊次數(shù)指數(shù)級(jí)增長����,背后是攻擊者不再依賴 “手工工具”,而是利用漏洞掃描���、載荷生成��、攻擊分發(fā)的自動(dòng)化工具鏈�����,實(shí)現(xiàn)“漏洞武器化流水線”�,從而大幅降低攻擊成本�,提升攻擊頻率。
此外�����,攻擊者對(duì)于新老漏洞的利用���,也有了新的變化��?;谖⒉角閳?bào)局統(tǒng)計(jì)發(fā)現(xiàn)�,2024年新披露漏洞為425個(gè),占2024年整體被利用漏洞26.3%���,相比2023年進(jìn)一步提升�����。由于攻擊者漏洞利用能力增強(qiáng)�,以及對(duì)新漏洞關(guān)注提升��,越來越多新漏洞從披露到被利用窗口期幾乎消失��。
與此同時(shí)�,2024年漏洞利用“長尾效應(yīng)”也非常明顯。在被利用的1600多個(gè)漏洞中�����,73.7%為歷史漏洞, 且在“攻防演練”這類實(shí)戰(zhàn)化場(chǎng)景中應(yīng)用尤為明顯(2024年攻防捕獲的漏洞攻擊行為中,2022年的老漏洞占比達(dá)到了70%?�。?����。歷史漏洞成為攻擊者的“彈藥庫”���,也體現(xiàn)了當(dāng)前企業(yè)漏洞管理兩個(gè)極有可能被利用的弱點(diǎn):缺乏對(duì)已修復(fù)漏洞的持續(xù)驗(yàn)證,同時(shí)也忽略老舊系統(tǒng)的漏洞風(fēng)險(xiǎn)����。
04 0day漏洞利用實(shí)戰(zhàn)化時(shí)代���,攻擊戰(zhàn)術(shù) “三高升級(jí)”
2024年���,在微步收錄的數(shù)百個(gè)0day漏洞中,有52個(gè)漏洞在無補(bǔ)丁時(shí)就被發(fā)現(xiàn)在野利用行為�。這52個(gè)漏洞中���,超過50%的漏洞出現(xiàn)在“攻防演練”場(chǎng)景��。0day作為最有效的攻擊工具,逐漸從“戰(zhàn)略儲(chǔ)備武器” 轉(zhuǎn)變?yōu)椤俺R?guī)戰(zhàn)術(shù)工具”����,且攻擊者更傾向于即時(shí)利用,而非長期囤積��。
與此同時(shí)��,2024年攻防場(chǎng)景下��,攻擊者漏洞利用相較于往年也呈現(xiàn)出 “高隱蔽”���、“高針對(duì)性”�����、 “高自動(dòng)化”的新特點(diǎn)���。攻擊者不像過去那樣直接發(fā)起大規(guī)模�、高噪音攻擊���,而是采用低頻慢速滲透這種更隱蔽的方式��。其針對(duì)性在于��,除了攻擊前深度情報(bào)收集�,同時(shí)采取集權(quán)設(shè)備優(yōu)先策略��,更傾向高價(jià)值�、高權(quán)限的核心系統(tǒng),例如AD域控�、數(shù)據(jù)庫、ERP系統(tǒng)�,從而實(shí)現(xiàn)攻擊效率最大化。漏洞攻擊自動(dòng)化,則是攻擊者開發(fā)全鏈條攻擊工具�����,從漏洞掃描到數(shù)據(jù)外傳一鍵完成�����。這三大顯著特征����,也意味著攻擊者從“粗放式攻擊”向“精細(xì)化作戰(zhàn)”全面升級(jí)。
點(diǎn)擊這里�����,可下載微步《2024年漏洞情報(bào)年報(bào)》
2025年�,預(yù)計(jì)將是不確定性增加��,實(shí)戰(zhàn)需求更凸顯的一年����。企業(yè)在進(jìn)行漏洞情報(bào)管理時(shí),建議將以下三個(gè)關(guān)鍵思路納入漏洞管理決策參考:
01 持續(xù)漏洞識(shí)別
當(dāng)前漏洞管理需從傳統(tǒng)的“定期掃描+電子表格追蹤”模式升級(jí)為持續(xù)化���、自動(dòng)化的實(shí)時(shí)對(duì)抗體系�����,其關(guān)鍵點(diǎn)在于:通過自動(dòng)化的技術(shù)�����,對(duì)資產(chǎn)不間斷監(jiān)控��,同時(shí)采用 “無掃描/無代理”的輕量級(jí)解決方案���,實(shí)時(shí)自動(dòng)關(guān)聯(lián)資產(chǎn)與新漏洞�����,第一時(shí)間發(fā)出告警,為安全團(tuán)隊(duì)快速響應(yīng)爭(zhēng)取寶貴時(shí)間�����。
02 漏洞管理核心策略:基于風(fēng)險(xiǎn)的優(yōu)先級(jí)
漏洞管理的核心是基于風(fēng)險(xiǎn)的優(yōu)先級(jí),需要優(yōu)先解決最關(guān)鍵威脅��。具體而言���,需要對(duì)三個(gè)關(guān)鍵維度進(jìn)行評(píng)估:首先是資產(chǎn)關(guān)鍵性����,優(yōu)先處理涉及核心業(yè)務(wù)的數(shù)據(jù),或者支撐重要業(yè)務(wù)流程的系統(tǒng)����;其次是網(wǎng)絡(luò)暴露程度�����,優(yōu)先修復(fù)互聯(lián)網(wǎng)暴露資產(chǎn)中的漏洞��;最后,結(jié)合漏洞利用情報(bào)�����,及時(shí)了解最新攻擊趨勢(shì)�����,調(diào)整優(yōu)先級(jí)�。
通過量化評(píng)估(資產(chǎn)價(jià)值x暴露系數(shù)x威脅緊迫性)�����,將海量漏洞收斂為可行動(dòng)清單,并建立“識(shí)別-評(píng)估-處置-驗(yàn)證”閉環(huán)機(jī)制���,實(shí)現(xiàn)資源精準(zhǔn)鎖定與攻擊窗口期壓縮。
03 重點(diǎn)關(guān)注臨時(shí)緩解措施
打補(bǔ)丁是漏洞修復(fù)的重要手段�����,但也存在真空期長(平均接近80天)��、修復(fù)成本高�、存在補(bǔ)丁繞過風(fēng)險(xiǎn)(約10%的補(bǔ)丁因繞過問題催生新0day漏洞)等明顯局限��。因此���,漏洞處置需要突破僅僅依賴補(bǔ)丁的思路,優(yōu)先部署臨時(shí)緩解措施:例如啟用網(wǎng)絡(luò)檢測(cè)響應(yīng)(NDR)對(duì)相關(guān)漏洞的探測(cè)和利用行為告警���,強(qiáng)化防火墻規(guī)則封堵漏洞利用路徑,細(xì)化訪問控制隔離高危資產(chǎn)����,并基于主機(jī)監(jiān)控阻斷異常操作。這些措施無需停機(jī)或等待補(bǔ)丁�����,即可快速壓縮攻擊面,避免干擾業(yè)務(wù)��,實(shí)現(xiàn)漏洞風(fēng)險(xiǎn)抑制���,為后續(xù)徹底修復(fù)爭(zhēng)取緩沖期�。從2024年的漏洞攻擊數(shù)據(jù)���,可以看到另外一個(gè)殘酷的現(xiàn)實(shí):企業(yè)80%的實(shí)際風(fēng)險(xiǎn)�,其實(shí)都是來自20%被活躍利用的“真正高危漏洞”。與其疲于應(yīng)對(duì)成千上萬的漏洞告警�,不如聚焦攻擊者真正使用的20%���。這大概是這次2024年微步漏洞情報(bào)精選想要分享給各位師傅的�。
最后��,漏洞攻防沒有銀彈��,但必有高效法則�,也祝2025年各位師傅都成為攻擊者眼中“最難啃的骨頭”���。
