奇安信最新报告：企业亟需摆脱漏洞处理泥淖，基于情报的漏洞管理将事半功倍

3月20日，奇安信CERT发布了《2022年全网漏洞态势研究报告》（简称《报告》），围绕漏洞监测、漏洞分析与研判、漏洞风险评估与处置等方面，对2022年全年发生的重大安全事件和有现实威胁的关键漏洞进行了盘点和分析。《报告》指出，在2022年CERT的初步研判漏洞中，高危漏洞占比57.72%，接近6成；企业亟需摆脱漏洞处理泥淖，基于漏洞情报的新型漏洞管理模式，能够更加高效的进行漏洞处置和管理。

《报告》显示，2022年奇安信CERT的漏洞库新增漏洞信息26128条 （其中有效漏洞24039条），其中20,667条漏洞信息达到奇安信CERT的处置标准对其进行初步研判，并对初步研判后较为重要的1,914条漏洞信息进行深入研判。相较于2021年，初步研判的漏洞环比增长873.02% ，深入研判的漏洞环比增长1.27%。

奇安信CERT结合CVSS评价标准以及漏洞产生的实际影响将漏洞定级分为极危、高危、中危、低危四种等级，用来评价漏洞不同的影响程度。

在2022年奇安信CERT研判过的21,034条漏洞信息中，低危漏洞占比2.00%，此类漏洞利用较为复杂或对可用性、机密性、完整性造成的影响较低；中危漏洞占比40.08%，此类漏洞产生的影响介于高危漏洞与低危漏洞之间，可能需要一些复杂的配置或对漏洞成功利用的要求较高；高危漏洞占比57.72%，此类漏洞极大可能造成较严重的影响或攻击成本较低；极危漏洞占比0.20%，此类漏洞无需复杂的技术能力就可以利用，并且对机密性、完整性和可用性的影响极高。

按照漏洞所属厂商数量排序，其中漏洞数量占比最高的前十家厂商为：Microsoft、Apple、Oracle、Google、开放源代码项目、Cisco、Adobe、Linux、Apache、VMware。Microsoft、Apple、Oracle这类商业软件漏洞多发，且因为其有节奏的发布安全补丁，为漏洞处置的关注重点。开源软件和应用在企业中越来越多的使用，关注度逐渐攀升。另一方面，部署在网络边界的网络设备在攻防行动中占据了重要地位，因而获得了安全研究员更为重点的关注。

在漏洞公开后，如何消除漏洞相关威胁是安全运营工作的重点之一。众所周知，漏洞修复工作是攻防双方同时间的“赛跑”。奇安信CERT将漏洞公开后、官方发布漏洞补丁前的这段时间称为“漏洞修复窗口期”，谁率先掌握漏洞谁就将在攻防对抗中获得主动。

《报告》显示，有65.26%左右的漏洞在被公开后6至14天内官方才发布补丁，这一期间漏洞被成功利用的可能性极大，危害程度最高，企业尤其应该注意这一期间的漏洞管理。

值得关注的是，尽管漏洞数量增长很快，高危漏洞数量占比逐年提升，但能够被攻击者利用并在实战中对组织网络安全造成实际危害的漏洞占比并不高。奇安信CERT将0day、APT相关、发现在野利用、存在公开Exploit/PoC，且漏洞关联软件影响面较大的漏洞定义为“关键漏洞”。奇安信CERT认为，相较于其他漏洞，此类漏洞利用代码已在互联网上被公开，或者已经发现在野攻击利用，并且漏洞关联产品具有较大的影响面，因此威胁程度非常高，是优先处置并修复的对象。

《报告》显示，在2022年奇安信CERT漏洞库新增的24,039条漏洞信息中，监测到有公开Exploit/PoC漏洞数量为721个、有在野利用漏洞数量为238个、0day漏洞数量为41个、APT相关漏洞数量为33个，共标记关键漏洞960个，仅占新增漏洞总量的3.99%。

对此，奇安信CERT负责人汪列军表示，第一时间完成所有漏洞的处置工作对于任意一个组织而言，都是一件极其困难的工作，应当基于漏洞实际的危害和自身业务情况，合理安排漏洞处置优先级，确定最优的漏洞修复方案，对于消除威胁才能起到事半功倍的效果。

汪列军强调，基于漏洞情报的新型漏洞管理模式，能够在企业安全运营过程起到收集器、过滤器和富化器的作用，帮助企业摆脱漏洞处理的泥潭，更加高效的进行漏洞处置和管理。

如需漏洞全文请点击阅读原文

原文始发于微信公众号（奇安信集团）：奇安信最新报告：企业亟需摆脱漏洞处理泥淖，基于情报的漏洞管理将事半功倍