在信息時(shí)代，數(shù)據(jù)安全和隱私保護(hù)已成為全球關(guān)注的焦點(diǎn)。隨著技術(shù)進(jìn)步和數(shù)字化進(jìn)程的加速，安全漏洞問(wèn)題愈發(fā)凸顯，各行業(yè)都面臨著嚴(yán)峻的威脅與挑戰(zhàn)。

近年來(lái)，零日漏洞的利用持續(xù)增長(zhǎng)，尤其是黑客組織和網(wǎng)絡(luò)犯罪團(tuán)伙越來(lái)越多地利用這些漏洞對(duì)攻擊目標(biāo)進(jìn)行長(zhǎng)期控制。云計(jì)算、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新興技術(shù)領(lǐng)域也成為安全漏洞的重點(diǎn)領(lǐng)域。同時(shí)，隨著大模型技術(shù)快速發(fā)展，模型文件植入惡意代碼、LLMjacking、數(shù)據(jù)投毒攻擊、推理攻擊、模型越獄攻擊等一些針對(duì)性攻擊手法也隨之出現(xiàn)，給網(wǎng)絡(luò)安全防御帶來(lái)新的挑戰(zhàn)。

天融信正式發(fā)布《2024年網(wǎng)絡(luò)空間安全漏洞態(tài)勢(shì)分析研究報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）。報(bào)告從「2024年度漏洞趨勢(shì)概況」「2024在野利用漏洞概況」「2024年度高危漏洞預(yù)警情況概述」「2024年度總結(jié)及2025展望」四大部分，探究漏洞威脅的現(xiàn)狀及發(fā)展趨勢(shì)，為廣大企事業(yè)客戶、安全運(yùn)維人員等應(yīng)對(duì)漏洞威脅提供指導(dǎo)。

回顧2024年，重大失泄密事件接連發(fā)生，涉及多個(gè)國(guó)家，波及電信、醫(yī)療等多個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)，網(wǎng)絡(luò)安全形勢(shì)依舊嚴(yán)峻。這些事件不僅給國(guó)家、企業(yè)和個(gè)人帶來(lái)了巨大影響，也促使全球各國(guó)持續(xù)加強(qiáng)網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人隱私保護(hù)能力建設(shè)，共同應(yīng)對(duì)挑戰(zhàn)。

漏洞風(fēng)險(xiǎn)

CNVD公開數(shù)據(jù)顯示，2023年共披露漏洞18635個(gè)，2024年共披露漏洞18782個(gè)，同比增加0.79%。其中，低危漏洞占4.20%，中危漏洞占48.86%，高危漏洞占46.94%。相對(duì)于低危漏洞，中危和高危漏洞的數(shù)量要多得多，這也需要安全運(yùn)維人員提高警惕，加強(qiáng)對(duì)中高危漏洞的控制。

Part.1 2024年度漏洞趨勢(shì)概況

漏洞的統(tǒng)計(jì)與評(píng)判是評(píng)估網(wǎng)絡(luò)安全情況的一個(gè)重要指標(biāo)，天融信阿爾法實(shí)驗(yàn)室參考國(guó)家漏洞數(shù)據(jù)庫(kù)數(shù)據(jù)，從「漏洞數(shù)量趨勢(shì)」「漏洞增長(zhǎng)趨勢(shì)」「漏洞威脅等級(jí)統(tǒng)計(jì)」「漏洞影響對(duì)象類型統(tǒng)計(jì)」「漏洞產(chǎn)生原因統(tǒng)計(jì)」「漏洞引發(fā)威脅統(tǒng)計(jì)」「行業(yè)漏洞收錄統(tǒng)計(jì)」「漏洞修復(fù)情況統(tǒng)計(jì)」對(duì)2024年披露的漏洞進(jìn)行了全方位的統(tǒng)計(jì)分析。

國(guó)家漏洞庫(kù)安全漏洞概況

數(shù)據(jù)來(lái)源：CNVD、CNNVD

數(shù)據(jù)顯示，低危漏洞比例降至4.20%，中危和高危漏洞仍占據(jù)較大比例，分別為48.86%和46.94%，且WEB應(yīng)用和應(yīng)用程序是主要攻擊目標(biāo)。設(shè)計(jì)錯(cuò)誤和輸入驗(yàn)證問(wèn)題是漏洞產(chǎn)生的主要原因，未授權(quán)的信息泄露是最突出的安全威脅。電信和移動(dòng)互聯(lián)網(wǎng)行業(yè)面臨最多的安全挑戰(zhàn)，而Apple和Oracle等廠商展示了高效的漏洞修復(fù)能力。整體來(lái)看，盡管漏洞總數(shù)穩(wěn)定，但高危和中危漏洞的增加提示我們需要持續(xù)關(guān)注并加強(qiáng)關(guān)鍵領(lǐng)域的防護(hù)措施。

Part.2 2024年度在野利用漏洞概況

通過(guò)對(duì)全網(wǎng)漏洞數(shù)據(jù)的分析，天融信篩選了2024的前100個(gè)在野利用漏洞進(jìn)行統(tǒng)計(jì)。此次統(tǒng)計(jì)分析主要從「漏洞所影響廠商」「影響平臺(tái)」「漏洞類型」以及「EXP公開情況」等4個(gè)方面展開，并選取整理了CWE TOP25排名。

數(shù)據(jù)來(lái)源：cybersecurity-help

數(shù)據(jù)顯示，Microsoft、Palo Alto Networks和Fortinet是最受影響的廠商，操作系統(tǒng)和軟件平臺(tái)是主要攻擊目標(biāo)，OS命令注入是最常見漏洞類型，而72.00%的漏洞有公開的EXP，增加了被利用的風(fēng)險(xiǎn)。

根據(jù)MITRE今年通過(guò)對(duì)公開可用的國(guó)家漏洞數(shù)據(jù)庫(kù)中31770項(xiàng)數(shù)據(jù)調(diào)研分析，得出CWE TOP25排名如下。

數(shù)據(jù)來(lái)源：MITRE

Part.3 2024年度高危漏洞預(yù)警情況概述

2024年，天融信阿爾法實(shí)驗(yàn)室通過(guò)漏洞監(jiān)測(cè)系統(tǒng)共監(jiān)測(cè)發(fā)現(xiàn)各類漏洞信息38429條，經(jīng)過(guò)漏洞監(jiān)測(cè)系統(tǒng)自動(dòng)智能篩選后留存高危漏洞信息317條，經(jīng)過(guò)人工專家進(jìn)一步研判后，最終發(fā)布了52條高危漏洞風(fēng)險(xiǎn)提示通告，涉及眾多廠商的軟件產(chǎn)品。由漏洞引發(fā)的安全威脅也多種多樣，統(tǒng)計(jì)結(jié)果顯示，主流操作系統(tǒng)是漏洞高發(fā)產(chǎn)品。2024年針對(duì)Microsoft廠商漏洞預(yù)警次數(shù)達(dá)16次，其中Windows系統(tǒng)的漏洞占大多數(shù)。

2024年預(yù)警的漏洞中，遠(yuǎn)程代碼執(zhí)行漏洞在漏洞類別中的占比達(dá)40%。這類漏洞一直是高級(jí)持續(xù)性威脅攻擊者的關(guān)鍵目標(biāo)和強(qiáng)大武器。通過(guò)利用這些漏洞，攻擊者能夠遠(yuǎn)程執(zhí)行任意代碼或指令，部分漏洞甚至無(wú)需用戶交互，攻擊者便可滲透到目標(biāo)系統(tǒng)并隱匿其中，對(duì)目標(biāo)網(wǎng)絡(luò)和信息系統(tǒng)構(gòu)成了極為嚴(yán)重的威脅。

數(shù)據(jù)來(lái)源：天融信年度漏洞預(yù)警

TOP10危害排名

2024年度總結(jié)及展望

2024年的漏洞數(shù)據(jù)顯示，公開披露的漏洞總數(shù)穩(wěn)定，高危漏洞數(shù)量基本持平，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施構(gòu)成較大威脅。中危漏洞數(shù)量增長(zhǎng)，低危漏洞減少，反映出資源更多地投入到了更嚴(yán)重漏洞的研究與修復(fù)。操作系統(tǒng)、瀏覽器和服務(wù)器平臺(tái)等成為主要攻擊目標(biāo)，特別是Microsoft產(chǎn)品因市場(chǎng)占有率大而受到更多關(guān)注。遠(yuǎn)程代碼執(zhí)行、身份驗(yàn)證繞過(guò)和SQL注入等類型漏洞最為嚴(yán)峻，企業(yè)需強(qiáng)化訪問(wèn)控制、提升用戶意識(shí)，并采用高級(jí)威脅防御技術(shù)。

全年雖然監(jiān)測(cè)到大量漏洞信息，但經(jīng)過(guò)智能篩選后發(fā)布的高危風(fēng)險(xiǎn)提示較少，這其中微軟是最大的預(yù)警來(lái)源。建議企業(yè)定期進(jìn)行漏洞掃描和滲透測(cè)試，部署防火墻、IDS/IPS等網(wǎng)絡(luò)安全設(shè)備，加密通信以保護(hù)數(shù)據(jù)安全，同時(shí)建立完善的漏洞處理流程和應(yīng)急響應(yīng)機(jī)制，確保及時(shí)修復(fù)并防止漏洞被利用。

同時(shí)，還需強(qiáng)化員工的安全意識(shí)培訓(xùn)，培養(yǎng)全員安全意識(shí)。可通過(guò)模擬攻擊演練、宣貫強(qiáng)密碼使用和多因素認(rèn)證（MFA）等方式提高基礎(chǔ)防御，加強(qiáng)安全意識(shí)教育，讓全員都能識(shí)別釣魚郵件、虛假網(wǎng)站等常見的社會(huì)工程攻擊，養(yǎng)成良好的安全用網(wǎng)習(xí)慣，并鼓勵(lì)員工發(fā)現(xiàn)可疑活動(dòng)立即上報(bào)，盡可能減少人為錯(cuò)誤導(dǎo)致的安全事件，共同維護(hù)企業(yè)的信息安全。

展望2025

2025年，漏洞披露與應(yīng)急響應(yīng)機(jī)制將更加完善，零日漏洞的數(shù)量和影響范圍可能增加，且被利用的時(shí)間窗口縮短。企業(yè)應(yīng)加強(qiáng)安全監(jiān)測(cè)與預(yù)警，推進(jìn)安全左移，增強(qiáng)應(yīng)急響應(yīng)能力，并促進(jìn)國(guó)際合作與信息共享。天融信將繼續(xù)發(fā)揮在監(jiān)測(cè)預(yù)警和應(yīng)急服務(wù)方面的優(yōu)勢(shì)，利用人工智能技術(shù)重塑網(wǎng)絡(luò)安全能力，構(gòu)建智能協(xié)同的安全體系，為數(shù)字經(jīng)濟(jì)的發(fā)展保駕護(hù)航。

點(diǎn)擊“閱讀原文”

即可獲取完整報(bào)告