據(jù)CNVD公開(kāi)數(shù)據(jù)顯示，2020年披露漏洞共20248枚，2021年披露漏洞17702枚，同比降低13%。天融信阿爾法實(shí)驗(yàn)室發(fā)布《2021年網(wǎng)絡(luò)空間安全漏洞調(diào)研分析報(bào)告》，報(bào)告顯示，2021年1-12 月，低危漏洞 33.5%，中危漏洞 57.3%，高危漏洞 9.2%；2021年高危漏洞類型分布更是相對(duì)集中，代碼執(zhí)行類型的漏洞占比較高，這類高危漏洞對(duì)網(wǎng)絡(luò)空間安全的威脅遠(yuǎn)遠(yuǎn)高于其他類型漏洞，此類高危漏洞數(shù)量的占比也預(yù)示了當(dāng)前嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)。

報(bào)告從「2021年度漏洞趨勢(shì)概況」、「2021年度高危漏洞預(yù)警情況概述」、「2021年度漏洞總結(jié)」三大部分，探究漏洞威脅的現(xiàn)狀及發(fā)展趨勢(shì)，為廣大企事業(yè)客戶、安全運(yùn)維人員等應(yīng)對(duì)漏洞威脅提供指導(dǎo)。

2021年度漏洞趨勢(shì)概況

01CNVD漏洞庫(kù)安全漏洞調(diào)研概況

漏洞的統(tǒng)計(jì)與評(píng)判是評(píng)估網(wǎng)絡(luò)安全情況的一個(gè)重要指標(biāo)，天融信阿爾法實(shí)驗(yàn)室參考CNVD漏洞數(shù)據(jù)庫(kù)數(shù)據(jù)，從「漏洞威脅等級(jí)統(tǒng)計(jì)」、「漏洞利用攻擊位置統(tǒng)計(jì)」、「漏洞影響對(duì)象類型統(tǒng)計(jì)」、「漏洞產(chǎn)生原因統(tǒng)計(jì)」、「漏洞引發(fā)威脅統(tǒng)計(jì)」、「漏洞增長(zhǎng)趨勢(shì)」對(duì) 2021 年披露的漏洞進(jìn)行了全方位的統(tǒng)計(jì)分析。

02CVE漏洞庫(kù)安全漏洞調(diào)研概況

通過(guò)對(duì)CVE在2021年公布的漏洞按CVSS評(píng)分高低進(jìn)行排序，天融信篩選了CVSS基本評(píng)分最高的前100個(gè)漏洞進(jìn)行統(tǒng)計(jì)分析。此次統(tǒng)計(jì)分析主要從「漏洞所影響廠商」、「影響平臺(tái)」、「攻擊途徑」、「披露時(shí)間」、「漏洞類型」以及「POC公開(kāi)情況」等6個(gè)方面展開(kāi)。

2021年度高危漏洞預(yù)警情況概述

2021年，天融信阿爾法實(shí)驗(yàn)室通過(guò)漏洞監(jiān)測(cè)系統(tǒng)共監(jiān)測(cè)發(fā)現(xiàn)各類漏洞信息46316條，經(jīng)過(guò)漏洞監(jiān)測(cè)系統(tǒng)自動(dòng)智能篩選后留存高危漏洞信息462條，進(jìn)一步經(jīng)人工研判后發(fā)布高危漏洞風(fēng)險(xiǎn)提示通告66條。涉及眾多廠商的軟件產(chǎn)品，由漏洞引發(fā)的安全威脅呈現(xiàn)多樣化，統(tǒng)計(jì)結(jié)果顯示，主流操作系統(tǒng)是漏洞高發(fā)產(chǎn)品。2021年針對(duì)Microsoft廠商漏洞預(yù)警次數(shù)達(dá)16次，其中Windows系統(tǒng)的漏洞占大多數(shù)。Weblogic、Log4j2、Xstream、VMware等關(guān)鍵基礎(chǔ)設(shè)施漏洞也是受關(guān)注度較高的方向。

2021年度漏洞總結(jié)

同往年相比，2021年漏洞數(shù)量增長(zhǎng)放緩，但并不意味著來(lái)自互聯(lián)網(wǎng)的危害因此而降低，相反，漏洞公開(kāi)的數(shù)量放緩某種程度上意味著更多的漏洞有可能選擇被武器化，而選擇不進(jìn)行公開(kāi)。

年底披露的Log4j2漏洞一經(jīng)發(fā)布，震動(dòng)整個(gè)國(guó)內(nèi)外的安全行業(yè)，甚至整個(gè)國(guó)內(nèi)外的IT 界，使用該組件的應(yīng)用極為廣泛，導(dǎo)致無(wú)數(shù)引用該組件的系統(tǒng)和開(kāi)源組件受到波及。隨著Log4j2遠(yuǎn)程代碼執(zhí)行漏洞的擴(kuò)散，供應(yīng)鏈安全的脆弱性再次受到廣大廠商們的關(guān)注。在整個(gè)供應(yīng)鏈中，大批供應(yīng)商在開(kāi)發(fā)程序時(shí)選擇引入第三方庫(kù)，有的項(xiàng)目甚至引入上百個(gè)之多，而這些第三方庫(kù)一旦某一個(gè)存在安全問(wèn)題，就會(huì)讓企業(yè)暴露在安全風(fēng)險(xiǎn)之下，有可能導(dǎo)致企業(yè)重要系統(tǒng)被植入勒索病毒、服務(wù)器崩潰、用戶數(shù)據(jù)及員工個(gè)人信息泄露，甚至是企業(yè)商業(yè)機(jī)密泄露等風(fēng)險(xiǎn)，從而引發(fā)無(wú)窮的隱患。

減少漏洞是避免安全事件發(fā)生的根源，這就要求開(kāi)發(fā)人員在掌握編程能力的同時(shí)，還應(yīng)具備安全開(kāi)發(fā)意識(shí)。開(kāi)發(fā)人員不僅需要熟悉CWE TOP25（MITRE公布的前25個(gè)最危險(xiǎn)軟件安全缺陷知識(shí)庫(kù)）漏洞的成因及危害，還應(yīng)將安全性測(cè)試環(huán)節(jié)添加到軟件的開(kāi)發(fā)過(guò)程中，使得項(xiàng)目具備DevSecOps能力，至少應(yīng)在軟件開(kāi)發(fā)過(guò)程中增加代碼審計(jì)工程師或代碼審計(jì)工具對(duì)代碼進(jìn)行審計(jì)。只有提升漏洞管理效率，才是高效的安全處理法則。

作為國(guó)內(nèi)網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商，天融信始終以捍衛(wèi)國(guó)家網(wǎng)絡(luò)空間安全為己任，創(chuàng)新超越，持續(xù)為客戶構(gòu)建更加完善的網(wǎng)絡(luò)安全防御能力，為數(shù)字經(jīng)濟(jì)的發(fā)展保駕護(hù)航。天融信將充分發(fā)揮自身優(yōu)勢(shì)，在保障客戶網(wǎng)絡(luò)安全的同時(shí)，努力踐行領(lǐng)軍企業(yè)的社會(huì)責(zé)任與擔(dān)當(dāng)，為國(guó)家網(wǎng)絡(luò)安全整體能力建設(shè)做出貢獻(xiàn)，為實(shí)施網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略貢獻(xiàn)企業(yè)力量。