隨著信息技術(shù)的迅猛發(fā)展和數(shù)字化轉(zhuǎn)型的深入推進(jìn)，網(wǎng)絡(luò)空間已經(jīng)成為人們生產(chǎn)、生活不可或缺的重要組成部分。與此同時(shí)，網(wǎng)絡(luò)安全威脅也呈現(xiàn)出前所未有的復(fù)雜性和嚴(yán)峻性。

安全漏洞，作為網(wǎng)絡(luò)安全領(lǐng)域的核心問(wèn)題之一，在這一年中頻繁曝光，給全球各地的組織和個(gè)人帶來(lái)了巨大挑戰(zhàn)。2023年，網(wǎng)絡(luò)空間安全漏洞態(tài)勢(shì)呈現(xiàn)出總體數(shù)量降低，但影響范圍擴(kuò)大、利用難度降低的趨勢(shì)。從傳統(tǒng)的系統(tǒng)和應(yīng)用漏洞，到新興技術(shù)如云計(jì)算、物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、人工智能等領(lǐng)域的安全隱患，各種類型的安全漏洞層出不窮。這些漏洞不僅威脅著網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行和數(shù)據(jù)安全，更可能對(duì)國(guó)家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展產(chǎn)生深遠(yuǎn)影響。

據(jù)CNVD公開(kāi)數(shù)據(jù)顯示，2022年共披露漏洞23900枚，2023年共披露漏洞18635枚，同比降低22.03%。這表明，在過(guò)去一年里，安全運(yùn)維人員加強(qiáng)了對(duì)系統(tǒng)安全的管理，降低了漏洞數(shù)量。其中，低危漏洞占5.85%，中危漏洞占46.93%，高危漏洞占47.22%。相對(duì)于低危漏洞，中危和高危漏洞的數(shù)量更多，需要安全運(yùn)維人員提高警惕，加強(qiáng)對(duì)中高危漏洞的控制。

報(bào)告從「2023年度漏洞趨勢(shì)概況」「2023年度在野利用漏洞概況」「2023年度高危漏洞預(yù)警情況概述」「2023年度總結(jié)及2024展望」四大部分，探究漏洞威脅的現(xiàn)狀及發(fā)展趨勢(shì)，為廣大企事業(yè)客戶、安全運(yùn)維人員等應(yīng)對(duì)漏洞威脅提供指導(dǎo)。

2023年度漏洞趨勢(shì)概況

漏洞的統(tǒng)計(jì)與評(píng)判是評(píng)估網(wǎng)絡(luò)安全情況的一個(gè)重要指標(biāo)，天融信阿爾法實(shí)驗(yàn)室參考國(guó)家漏洞數(shù)據(jù)庫(kù)數(shù)據(jù)，從「漏洞數(shù)量趨勢(shì)」「漏洞增長(zhǎng)趨勢(shì)」「漏洞威脅等級(jí)統(tǒng)計(jì)」「漏洞影響對(duì)象類型統(tǒng)計(jì)」「漏洞產(chǎn)生原因統(tǒng)計(jì)」「漏洞引發(fā)威脅統(tǒng)計(jì)」「行業(yè)漏洞收錄統(tǒng)計(jì)」「漏洞修復(fù)情況統(tǒng)計(jì)」對(duì)2023年披露的漏洞進(jìn)行了全方位的統(tǒng)計(jì)分析。

2023年度在野利用漏洞概況

通過(guò)對(duì)全網(wǎng)漏洞數(shù)據(jù)的分析，天融信篩選了2023年前100個(gè)在野利用漏洞進(jìn)行統(tǒng)計(jì)。此次統(tǒng)計(jì)分析主要從「漏洞影響的廠商」「漏洞影響的平臺(tái)」「漏洞類型」以及「EXP公開(kāi)情況」4個(gè)方面展開(kāi)，并選取整理了CWE TOP25排名。

2023年度高危漏洞預(yù)警情況概述

2023年，天融信阿爾法實(shí)驗(yàn)室通過(guò)漏洞監(jiān)測(cè)系統(tǒng)共監(jiān)測(cè)發(fā)現(xiàn)各類漏洞信息35762條，經(jīng)過(guò)漏洞監(jiān)測(cè)系統(tǒng)自動(dòng)智能篩選后留存高危漏洞信息361條，經(jīng)過(guò)人工專家進(jìn)一步研判后，最終發(fā)布了45條高危漏洞風(fēng)險(xiǎn)提示通告。涉及眾多廠商的軟件產(chǎn)品，由漏洞引發(fā)的安全威脅也多種多樣，統(tǒng)計(jì)結(jié)果顯示，主流操作系統(tǒng)是漏洞高發(fā)產(chǎn)品。2023年針對(duì)Microsoft廠商漏洞預(yù)警次數(shù)達(dá)14次，其中Windows系統(tǒng)的漏洞占大多數(shù)。

2023年預(yù)警的漏洞中，遠(yuǎn)程代碼執(zhí)行類漏洞占比最高，達(dá)到69%。這一類漏洞也是APT攻擊者的重要方向和攻擊武器，攻擊者利用這類漏洞可以遠(yuǎn)程執(zhí)行任意代碼或者指令，有些漏洞甚至無(wú)需用戶交互即可達(dá)到遠(yuǎn)程代碼執(zhí)行的效果，對(duì)目標(biāo)網(wǎng)絡(luò)和信息系統(tǒng)造成嚴(yán)重影響。此次統(tǒng)計(jì)分析主要從「漏洞預(yù)警廠商情況」「漏洞威脅情況」2個(gè)方面展開(kāi)。

2023年度總結(jié)及展望

2023年網(wǎng)絡(luò)空間安全漏洞分析研究報(bào)告顯示，漏洞總數(shù)呈現(xiàn)下降趨勢(shì)，但高危漏洞數(shù)量仍然為增長(zhǎng)態(tài)勢(shì)。緩沖區(qū)溢出、輸入驗(yàn)證不當(dāng)和OS命令注入是當(dāng)前網(wǎng)絡(luò)安全形勢(shì)最為嚴(yán)峻的威脅，Windows系統(tǒng)漏洞和遠(yuǎn)程代碼執(zhí)行漏洞最多，Apache也占據(jù)了顯著比例，任何一類漏洞都有可能造成蠕蟲(chóng)病毒傳播事件或者勒索事件的爆發(fā)，用戶應(yīng)加強(qiáng)安全防護(hù)。

2023年的網(wǎng)絡(luò)空間安全態(tài)勢(shì)需要企業(yè)和組織采取綜合性的防御措施。其中，重點(diǎn)包括實(shí)施供應(yīng)商審查機(jī)制以抵御供應(yīng)鏈攻擊，加強(qiáng)賬戶安全以應(yīng)對(duì)身份和憑證欺詐，建立漏洞管理體系以有效防范安全漏洞威脅，以及強(qiáng)化分段網(wǎng)絡(luò)管理來(lái)提高數(shù)據(jù)安全應(yīng)對(duì)能力。這些措施旨在面對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅，確保網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)得到充分的保護(hù)，維護(hù)業(yè)務(wù)的正常運(yùn)行和客戶安全。

隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)安全漏洞的趨勢(shì)也在不斷變化。預(yù)計(jì)到2024年，零日漏洞的利用將增加，云計(jì)算、物聯(lián)網(wǎng)、車(chē)聯(lián)網(wǎng)、人工智能等新興技術(shù)領(lǐng)域成為重點(diǎn)攻擊對(duì)象。勒索軟件攻擊將更加有針對(duì)性，生成式人工智能技術(shù)可能被用于更復(fù)雜的網(wǎng)絡(luò)攻擊并降低攻擊門(mén)檻。開(kāi)源軟件的安全性將成為重點(diǎn)，越來(lái)越多的組織將開(kāi)始采用零信任架構(gòu)。人工智能將在漏洞預(yù)警和防御中發(fā)揮重要作用，IAST將逐漸整合到全鏈路接口安全防御體系。

作為國(guó)內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全、大數(shù)據(jù)與云服務(wù)提供商，天融信始終以捍衛(wèi)國(guó)家網(wǎng)絡(luò)空間安全為己任，積極發(fā)揮自身在監(jiān)測(cè)預(yù)警與應(yīng)急服務(wù)優(yōu)勢(shì)，全面掌握漏洞動(dòng)態(tài)，持續(xù)為客戶構(gòu)建更加完善的網(wǎng)絡(luò)安全防御能力，通過(guò)多維度數(shù)據(jù)采集分析、敏感信息及時(shí)預(yù)警，持續(xù)深入信息安全領(lǐng)域的監(jiān)測(cè)與應(yīng)急工作，及時(shí)監(jiān)測(cè)網(wǎng)絡(luò)空間的漏洞動(dòng)態(tài)，提供快速的監(jiān)測(cè)與預(yù)警服務(wù)。

天融信專注于強(qiáng)化云端情報(bào)融合、安全防護(hù)設(shè)備聯(lián)動(dòng)、云環(huán)境下的IT資產(chǎn)安全管理等能力，將云上能力賦能本地，結(jié)合云端7×24小時(shí)在線研判，幫助各類客戶構(gòu)建涵蓋檢測(cè)發(fā)現(xiàn)、分析研判、情報(bào)預(yù)警、響應(yīng)處置、持續(xù)監(jiān)控的完整資產(chǎn)安全管理體系，有效助力客戶數(shù)字化轉(zhuǎn)型發(fā)展。