在信息時代，數(shù)據(jù)安全和隱私保護已成為全球關(guān)注的焦點。隨著技術(shù)進步和數(shù)字化進程的加速，安全漏洞問題愈發(fā)凸顯，各行業(yè)都面臨著嚴峻的威脅與挑戰(zhàn)。

近年來，零日漏洞的利用持續(xù)增長，尤其是黑客組織和網(wǎng)絡(luò)犯罪團伙越來越多地利用這些漏洞對攻擊目標進行長期控制。云計算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新興技術(shù)領(lǐng)域也成為安全漏洞的重點領(lǐng)域。同時，隨著大模型技術(shù)快速發(fā)展，模型文件植入惡意代碼、LLMjacking、數(shù)據(jù)投毒攻擊、推理攻擊、模型越獄攻擊等一些針對性攻擊手法也隨之出現(xiàn)，給網(wǎng)絡(luò)安全防御帶來新的挑戰(zhàn)。

天融信正式發(fā)布《2024年網(wǎng)絡(luò)空間安全漏洞態(tài)勢分析研究報告》（以下簡稱“報告”）。報告從「2024年度漏洞趨勢概況」「2024在野利用漏洞概況」「2024年度高危漏洞預警情況概述」「2024年度總結(jié)及2025展望」四大部分，探究漏洞威脅的現(xiàn)狀及發(fā)展趨勢，為廣大企事業(yè)客戶、安全運維人員等應對漏洞威脅提供指導。

回顧2024年，重大失泄密事件接連發(fā)生，涉及多個國家，波及電信、醫(yī)療等多個關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)，網(wǎng)絡(luò)安全形勢依舊嚴峻。這些事件不僅給國家、企業(yè)和個人帶來了巨大影響，也促使全球各國持續(xù)加強網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個人隱私保護能力建設(shè)，共同應對挑戰(zhàn)。

漏洞風險

CNVD公開數(shù)據(jù)顯示，2023年共披露漏洞18635個，2024年共披露漏洞18782個，同比增加0.79%。其中，低危漏洞占4.20%，中危漏洞占48.86%，高危漏洞占46.94%。相對于低危漏洞，中危和高危漏洞的數(shù)量要多得多，這也需要安全運維人員提高警惕，加強對中高危漏洞的控制。

Part.1 2024年度漏洞趨勢概況

漏洞的統(tǒng)計與評判是評估網(wǎng)絡(luò)安全情況的一個重要指標，天融信阿爾法實驗室參考國家漏洞數(shù)據(jù)庫數(shù)據(jù)，從「漏洞數(shù)量趨勢」「漏洞增長趨勢」「漏洞威脅等級統(tǒng)計」「漏洞影響對象類型統(tǒng)計」「漏洞產(chǎn)生原因統(tǒng)計」「漏洞引發(fā)威脅統(tǒng)計」「行業(yè)漏洞收錄統(tǒng)計」「漏洞修復情況統(tǒng)計」對2024年披露的漏洞進行了全方位的統(tǒng)計分析。

國家漏洞庫安全漏洞概況

數(shù)據(jù)來源：CNVD、CNNVD

數(shù)據(jù)顯示，低危漏洞比例降至4.20%，中危和高危漏洞仍占據(jù)較大比例，分別為48.86%和46.94%，且WEB應用和應用程序是主要攻擊目標。設(shè)計錯誤和輸入驗證問題是漏洞產(chǎn)生的主要原因，未授權(quán)的信息泄露是最突出的安全威脅。電信和移動互聯(lián)網(wǎng)行業(yè)面臨最多的安全挑戰(zhàn)，而Apple和Oracle等廠商展示了高效的漏洞修復能力。整體來看，盡管漏洞總數(shù)穩(wěn)定，但高危和中危漏洞的增加提示我們需要持續(xù)關(guān)注并加強關(guān)鍵領(lǐng)域的防護措施。

Part.2 2024年度在野利用漏洞概況

通過對全網(wǎng)漏洞數(shù)據(jù)的分析，天融信篩選了2024的前100個在野利用漏洞進行統(tǒng)計。此次統(tǒng)計分析主要從「漏洞所影響廠商」「影響平臺」「漏洞類型」以及「EXP公開情況」等4個方面展開，并選取整理了CWE TOP25排名。

數(shù)據(jù)來源：cybersecurity-help

數(shù)據(jù)顯示，Microsoft、Palo Alto Networks和Fortinet是最受影響的廠商，操作系統(tǒng)和軟件平臺是主要攻擊目標，OS命令注入是最常見漏洞類型，而72.00%的漏洞有公開的EXP，增加了被利用的風險。

根據(jù)MITRE今年通過對公開可用的國家漏洞數(shù)據(jù)庫中31770項數(shù)據(jù)調(diào)研分析，得出CWE TOP25排名如下。

數(shù)據(jù)來源：MITRE

Part.3 2024年度高危漏洞預警情況概述

2024年，天融信阿爾法實驗室通過漏洞監(jiān)測系統(tǒng)共監(jiān)測發(fā)現(xiàn)各類漏洞信息38429條，經(jīng)過漏洞監(jiān)測系統(tǒng)自動智能篩選后留存高危漏洞信息317條，經(jīng)過人工專家進一步研判后，最終發(fā)布了52條高危漏洞風險提示通告，涉及眾多廠商的軟件產(chǎn)品。由漏洞引發(fā)的安全威脅也多種多樣，統(tǒng)計結(jié)果顯示，主流操作系統(tǒng)是漏洞高發(fā)產(chǎn)品。2024年針對Microsoft廠商漏洞預警次數(shù)達16次，其中Windows系統(tǒng)的漏洞占大多數(shù)。

2024年預警的漏洞中，遠程代碼執(zhí)行漏洞在漏洞類別中的占比達40%。這類漏洞一直是高級持續(xù)性威脅攻擊者的關(guān)鍵目標和強大武器。通過利用這些漏洞，攻擊者能夠遠程執(zhí)行任意代碼或指令，部分漏洞甚至無需用戶交互，攻擊者便可滲透到目標系統(tǒng)并隱匿其中，對目標網(wǎng)絡(luò)和信息系統(tǒng)構(gòu)成了極為嚴重的威脅。

數(shù)據(jù)來源：天融信年度漏洞預警

TOP10危害排名

2024年度總結(jié)及展望

2024年的漏洞數(shù)據(jù)顯示，公開披露的漏洞總數(shù)穩(wěn)定，高危漏洞數(shù)量基本持平，對關(guān)鍵信息基礎(chǔ)設(shè)施構(gòu)成較大威脅。中危漏洞數(shù)量增長，低危漏洞減少，反映出資源更多地投入到了更嚴重漏洞的研究與修復。操作系統(tǒng)、瀏覽器和服務(wù)器平臺等成為主要攻擊目標，特別是Microsoft產(chǎn)品因市場占有率大而受到更多關(guān)注。遠程代碼執(zhí)行、身份驗證繞過和SQL注入等類型漏洞最為嚴峻，企業(yè)需強化訪問控制、提升用戶意識，并采用高級威脅防御技術(shù)。

全年雖然監(jiān)測到大量漏洞信息，但經(jīng)過智能篩選后發(fā)布的高危風險提示較少，這其中微軟是最大的預警來源。建議企業(yè)定期進行漏洞掃描和滲透測試，部署防火墻、IDS/IPS等網(wǎng)絡(luò)安全設(shè)備，加密通信以保護數(shù)據(jù)安全，同時建立完善的漏洞處理流程和應急響應機制，確保及時修復并防止漏洞被利用。

同時，還需強化員工的安全意識培訓，培養(yǎng)全員安全意識。可通過模擬攻擊演練、宣貫強密碼使用和多因素認證（MFA）等方式提高基礎(chǔ)防御，加強安全意識教育，讓全員都能識別釣魚郵件、虛假網(wǎng)站等常見的社會工程攻擊，養(yǎng)成良好的安全用網(wǎng)習慣，并鼓勵員工發(fā)現(xiàn)可疑活動立即上報，盡可能減少人為錯誤導致的安全事件，共同維護企業(yè)的信息安全。

展望2025

2025年，漏洞披露與應急響應機制將更加完善，零日漏洞的數(shù)量和影響范圍可能增加，且被利用的時間窗口縮短。企業(yè)應加強安全監(jiān)測與預警，推進安全左移，增強應急響應能力，并促進國際合作與信息共享。天融信將繼續(xù)發(fā)揮在監(jiān)測預警和應急服務(wù)方面的優(yōu)勢，利用人工智能技術(shù)重塑網(wǎng)絡(luò)安全能力，構(gòu)建智能協(xié)同的安全體系，為數(shù)字經(jīng)濟的發(fā)展保駕護航。

點擊“閱讀原文”

即可獲取完整報告