本文主要是分享2份关于2024年度网络安全漏洞态势分析与研究报告,具体内容如下。
报告一简介
✦漏洞数量持续增长:2024年新增漏洞43,757个,同比增长46.7%,其中高危漏洞占比17.8%,总体漏洞威胁程度持续加深。
✦ 漏洞从暴露到被利用时间窗口持续缩短,平均时间18天,对有实际威胁的漏洞识别与及时修补提出了越来越大的挑战。
✦漏洞深度助力APT攻击:APT组织更倾向于使用零日漏洞和复合攻击链,目标集中于政府、能源、金融及国产软件行业。
✦ 国产软件漏洞更多关注:706个国产软件漏洞被披露,主要集中于OA、ERP等,暴露国内软件安全审计能力不足。
✦ 供应链来源漏洞显示高威胁度:供应链漏洞频发,典型案例如XZ Utils工具库后门事件,其传播范围广泛、修复难度大。
✦ 勒索软件持续通过漏洞攻击获益:勒索软件团伙频繁利用漏洞进行攻击,高危行业为医疗、教育和能源领域。
2025年漏洞发展趋势展望:
✦AI驱动的漏洞挖掘与利用:人工智能将被广泛用于漏洞发现、分析和攻击路径优化,攻击及防御复杂性大幅度提升。
✦ 量子计算冲击传统密码算法:量子计算能力逐步突破,对传统加密协议可能在远期产生影响。
✦云原生与虚拟化漏洞爆发:云原生架构中的容器逃逸、Kubernetes配置错误等漏洞成为热点。
✦ 物联网设备漏洞激增:物联网设备固件漏洞和通信协议漏洞被攻击者大规模利用。
✦ 漏洞利用自动化与产业化:漏洞利用即服务(Exploitation-as-a-Service)将推动漏洞攻击规模化。
报告一节选
报告二简介
报告从主流漏洞库入手,对公开披露的漏洞数据进行系统梳理,包括总体数量、各危害等级漏洞数据统计、厂商分布等内容,揭示漏洞数量的变化趋势,以及漏洞等级分布情况、漏洞产生原因以及漏洞背后可能带来的安全隐患。
已公开披露漏洞数据等级分布
通过对漏洞产生原因数据的统计与分析,安恒研究院发现随着软件系统复杂性和规模的增加,安全问题会更多地出现在设计阶段,设计错误的比例可能进一步上升。
2024年度漏洞产生原因分布(注:数据来源CNVD)
从上述漏洞产生原因分布图中可以得出设计阶段问题占主导,设计错误占比高反映出系统在早期设计阶段缺乏全面考量,导致系统开发阶段未对安全问题进行重视出现较多漏洞。
其次输入问题较多,开发人员在编码过程中对用户输入缺乏严格处理,而这类输入问题漏洞通常是攻击者的突破口。报告在基于这些已公开披露的漏洞数据的基础上,对未来可能面临的网络安全风险点进行了预测与漏洞趋势分析。
报告二节选
全部内容请到帮会中下载,感谢支持!!
来源:奇安信、安恒
freebuf 帮会简介
「一起聊安全」公众号及帮会致力于网络安全材料汇总与分享,围绕网络安全标准、安全政策法规、安全报告及白皮书、安全会议、安全方案、新技术等方向,与FREEBUF知识大陆共建【一起聊安全】帮会,目前相关内容已有5300+,安全标准涵盖国标、行标、团标等,包括等保、关基、商密、数据安全、云计算、物联网、工业互联网、移动安全、风险评估、安全攻防等30+方向内容,覆盖最新安全政策法规、安全报告及白皮书等,为网安人提供最新最全资料。
网页端:https://wiki.freebuf.com/societyDetail?society_id=69
APP端:
点分享
点收藏
点在看
点点赞
原文始发于微信公众号(一起聊安全):2024年度网络安全漏洞态势分析与研究报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论