作為網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)者，天融信一直致力于推動(dòng)網(wǎng)絡(luò)安全技術(shù)的發(fā)展和應(yīng)用，并通過不斷的探索和實(shí)踐為客戶提供全方位的網(wǎng)絡(luò)安全服務(wù)。為了更好地了解網(wǎng)絡(luò)空間安全漏洞的發(fā)展趨勢，并采取適當(dāng)?shù)拇胧?yīng)對(duì)漏洞威脅，特發(fā)布《2022年網(wǎng)絡(luò)空間安全漏洞分析研究報(bào)告》，在這份報(bào)告中，我們將通過實(shí)際案例和數(shù)據(jù)分析，為廣大客戶和讀者提供有價(jià)值的信息。

據(jù)CNVD公開數(shù)據(jù)顯示，2021年共披露漏洞26558枚，2022年共披露漏洞23900枚，同比降低10%。這可能表明，在過去一年里，安全運(yùn)維人員加強(qiáng)了對(duì)系統(tǒng)安全的管理，降低了漏洞數(shù)量。其中，低危漏洞占11.13%，中危漏洞占53.82%，高危漏洞占35.05%。相對(duì)于低危漏洞，中危和高危漏洞所占比重偏高，這需要安全運(yùn)維人員提高警惕，加強(qiáng)對(duì)中高危漏洞的控制。

報(bào)告從「2022年度漏洞趨勢概況」、「2022年度高危漏洞預(yù)警情況概述」、「2022年度總結(jié)及展望」三大部分，探究漏洞威脅的現(xiàn)狀及發(fā)展趨勢，為廣大企事業(yè)客戶、安全運(yùn)維人員等應(yīng)對(duì)漏洞威脅提供指導(dǎo)。

2022年度漏洞趨勢概況

1、CNVD漏洞庫安全漏洞概況

漏洞的統(tǒng)計(jì)與評(píng)判是評(píng)估網(wǎng)絡(luò)安全情況的一個(gè)重要指標(biāo)，天融信阿爾法實(shí)驗(yàn)室參考CNVD漏洞數(shù)據(jù)庫數(shù)據(jù)，從「漏洞威脅等級(jí)統(tǒng)計(jì)」、「漏洞利用攻擊位置統(tǒng)計(jì)」、「漏洞影響對(duì)象類型統(tǒng)計(jì)」、「漏洞產(chǎn)生原因統(tǒng)計(jì)」、「漏洞引發(fā)威脅統(tǒng)計(jì)」、「漏洞增長趨勢」，對(duì) 2022 年披露的漏洞進(jìn)行了全方位的統(tǒng)計(jì)分析。

數(shù)據(jù)來源：CNVD

2、CVE漏洞庫安全漏洞概況

通過對(duì)CVE在2022年公布的漏洞按CVSS評(píng)分高低進(jìn)行排序，天融信篩選了CVSS基本評(píng)分最高的前100個(gè)漏洞進(jìn)行統(tǒng)計(jì)分析。此次統(tǒng)計(jì)分析主要從 「漏洞所影響廠商」、「影響平臺(tái)」、「攻擊途徑」、「披露時(shí)間」、「漏洞類型」以及「POC公開情況」等6個(gè)方面展開，并選取整理了CWE TOP 25排名。

數(shù)據(jù)來源：CVE

根據(jù) MITRE對(duì) 國家漏洞數(shù)據(jù)庫中37000項(xiàng)公開可用的數(shù)據(jù)調(diào)研，分析得出的CWE TOP 25排名如下：

數(shù)據(jù)來源：CWE

2022年度高危漏洞預(yù)警情況概述

2022年，天融信阿爾法實(shí)驗(yàn)室共監(jiān)測發(fā)現(xiàn)各類漏洞信息45627條，經(jīng)過漏洞監(jiān)測系統(tǒng)自動(dòng)智能篩選后留存高危漏洞信息 365條，進(jìn)一步經(jīng)人工研判后發(fā)布高危漏洞風(fēng)險(xiǎn)提示通告 62條。統(tǒng)計(jì)結(jié)果顯示，由漏洞引發(fā)的安全威脅涉及眾多廠商的軟件產(chǎn)品，主流操作系統(tǒng)是漏洞高發(fā)產(chǎn)品。2022年針對(duì)Microsoft廠商漏洞預(yù)警次數(shù)達(dá)15次，其中Windows系統(tǒng)的漏洞占大多數(shù)。OpenSSL、VMware等關(guān)鍵基礎(chǔ)設(shè)施漏洞也是受關(guān)注度較高的方向。

2022年預(yù)警的漏洞中，代碼執(zhí)行類漏洞占比最高，達(dá)到71%。這一類漏洞也是高級(jí)可持續(xù)性攻擊的重要方向和攻擊武器，攻擊者利用這類漏洞可以遠(yuǎn)程執(zhí)行任意代碼或者指令，有些漏洞甚至無需用戶交互即可達(dá)到遠(yuǎn)程代碼執(zhí)行的效果，對(duì)目標(biāo)網(wǎng)絡(luò)和信息系統(tǒng)造成嚴(yán)重影響。此次統(tǒng)計(jì)分析主要從「漏洞預(yù)警廠商情況」、「漏洞威脅情況」2個(gè)方面展開。

數(shù)據(jù)來源：天融信年度漏洞預(yù)警

年度TOP10高危漏洞

2022年度總結(jié)及展望

2022年網(wǎng)絡(luò)空間安全漏洞分析研究報(bào)告顯示，CNVD披露的漏洞數(shù)量呈現(xiàn)下降趨勢，可見技術(shù)發(fā)展、相關(guān)政策法規(guī)的完善和安全機(jī)制的建立在漏洞治理方面發(fā)揮了重要作用。漏洞依然集中在傳統(tǒng)廠商的設(shè)備和產(chǎn)品中，遠(yuǎn)程代碼執(zhí)行漏洞、SQL注入漏洞、命令注入漏洞是當(dāng)前網(wǎng)絡(luò)安全形勢最為嚴(yán)峻的威脅，Windows系統(tǒng)漏洞和遠(yuǎn)程代碼執(zhí)行漏洞最多，OpenSSL和VMware也出現(xiàn)其中，任何一類漏洞都有可能造成蠕蟲病毒傳播事件或者勒索事件的爆發(fā)，用戶應(yīng)加強(qiáng)安全防護(hù)措施。

對(duì)于仍舊存在的各種漏洞事件，建議企業(yè)、組織加強(qiáng)安全技術(shù)研究和投入，建立完善的安全防護(hù)體系； 定期開展安全培訓(xùn)，提升人員安全意識(shí)； 分類處置安全漏洞，及時(shí)妥善處理內(nèi)部安全隱患；完善漏洞管理措施，具備清晰、體系化的漏洞管理思路。通過以上措施能夠有效發(fā)現(xiàn)和堵塞漏洞，并減少因網(wǎng)絡(luò)空間安全漏洞導(dǎo)致的各類威脅。

隨著軟件復(fù)雜度的持續(xù)走高，以及企業(yè)和開發(fā)者對(duì)安全的重視程度增加，最終的漏洞數(shù)量可能會(huì)呈現(xiàn)下降趨勢。然而Windows、Linux、Mac等主流操作系統(tǒng)的漏洞數(shù)量可能不會(huì)降低，尤其是Microsoft Exchange Server和瀏覽器的漏洞數(shù)量會(huì)有所增加，API安全將持續(xù)成為網(wǎng)絡(luò)空間安全的一大威脅。攻擊者可能會(huì)利用人工智能和其分支機(jī)器學(xué)習(xí)技術(shù)來發(fā)現(xiàn)并利用漏洞，并且會(huì)更加關(guān)注云環(huán)境漏洞利用和物聯(lián)網(wǎng)設(shè)備缺陷挖掘。為了保護(hù)國家信息基礎(chǔ)設(shè)施不受惡意攻擊，政府和監(jiān)管機(jī)構(gòu)可能會(huì)出臺(tái)更嚴(yán)格的軟件安全法規(guī)。因此客戶應(yīng)加強(qiáng)攻擊面管理，及時(shí)發(fā)現(xiàn)和修復(fù)漏洞，并做好威脅檢測和響應(yīng)，以便在攻擊者得逞之前及時(shí)采取應(yīng)對(duì)措施阻止攻擊威脅。

多年來，天融信積極發(fā)揮自身在監(jiān)測預(yù)警與應(yīng)急服務(wù)領(lǐng)域的優(yōu)勢，全面掌握漏洞動(dòng)態(tài)，堅(jiān)持安全漏洞管理技術(shù)探索與實(shí)踐。通過多維度數(shù)據(jù)采集分析、敏感信息及時(shí)預(yù)警，持續(xù)深入信息安全領(lǐng)域的監(jiān)測與應(yīng)急工作，及時(shí)監(jiān)測網(wǎng)絡(luò)空間的漏洞動(dòng)態(tài)，提供快速的監(jiān)測與預(yù)警服務(wù)。天融信還不斷強(qiáng)化云端情報(bào)融合、安全防護(hù)設(shè)備聯(lián)動(dòng)、云環(huán)境下的IT資產(chǎn)安全管理等能力，將云上能力賦能本地，結(jié)合云端7×24小時(shí)在線研判，幫助各類客戶構(gòu)建涵蓋檢測發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置、持續(xù)監(jiān)控的完整資產(chǎn)安全管理體系，助力客戶的數(shù)字化轉(zhuǎn)型發(fā)展更加安全高效，為數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展保駕護(hù)航。

TOPSEC

作為中國先進(jìn)的網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商，天融信始終以捍衛(wèi)國家網(wǎng)絡(luò)空間安全為己任，創(chuàng)新超越，持續(xù)為客戶構(gòu)建更加完善的網(wǎng)絡(luò)安全防御能力，為國家網(wǎng)絡(luò)安全整體能力建設(shè)服務(wù)，為實(shí)施網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略貢獻(xiàn)企業(yè)力量。