从数据看风险，从趋势寻策略 | 2024年网络安全漏洞趋势

根据CVE、CNVD、CNNVD的统计数据，2024年漏洞数量持续增长，漏洞的披露频率和暴露的范围不断扩展，主要体现在以下几个方面：

（1）全球漏洞总数增加：CVE数据库中的漏洞数量在2024年突破45,000个，相比于2023年增长了大约10%。其中，高危漏洞（CVSS评分8及以上）占比为17%。这表明虽然漏洞数量持续增长，但高危漏洞的比例略有下降，部分高危漏洞被更快修复或补丁发布速度加快。

（2）中国本土漏洞数量增长：根据CNVD和CNNVD的统计数据，2024年中国本土披露的漏洞数量为约9,000个，同比增长约12%。中国企业和政府面临的安全威胁日益加剧，尤其是国产软件和硬件的安全性问题显现。

趋势分析：

零日漏洞：零日漏洞（即在厂商发布补丁之前被攻击者利用的漏洞）数量仍在上升。2024年，零日漏洞的披露数量增长了约10%，并且在一些关键软件和操作系统中成为攻击者的优先选择，特别是在Linux、Windows Server、Web应用程序和云服务平台中，零日漏洞的使用频率不断增加。

漏洞披露周期缩短：由于漏洞响应机制和修补能力的提升，漏洞的披露周期普遍缩短。许多企业在漏洞披露后能够迅速发布修复补丁，尽管如此，漏洞被利用的速度和规模仍令人担忧。

2024年漏洞的等级分布趋势显示，尽管高危漏洞的比例有所减少，但它们的利用仍对企业安全构成了巨大威胁：

（1）高危漏洞：高危漏洞的数量持续增长，尤其是在核心基础设施、操作系统、云计算平台和Web应用程序中。2024年高危漏洞（CVSS评分8.0及以上）仍占据了一定的比例，约为17%左右。主要影响的系统包括Microsoft Windows、Apache、Linux、Oracle等常用平台。

（2）中危漏洞：中危漏洞的数量最多，约占50%。这些漏洞的利用往往需要一定的技术条件，但攻击者仍然能借此在系统中获得一定的权限，进而对企业网络造成威胁。此类漏洞通常是攻击者作为跳板攻击高价值目标的入口点。

（3）低危漏洞：低危漏洞的数量也有所增加，但由于其利用的潜力较小，通常不会直接导致系统崩溃或数据泄露。这些漏洞更多是在长期未修复的情况下，作为攻击者的辅助工具。

趋势分析：

利用门槛的下降：随着漏洞数量的增加和漏洞被利用的方式日益多样化，攻击者通过自动化工具、漏洞利用框架和大规模攻击脚本使得即便是中低危漏洞，也能被更快速、更高效地利用。

补丁发布速度加快：许多漏洞厂商和开发者在发现漏洞后，能够迅速发布补丁，减少了高危漏洞的暴露时间。然而，补丁管理的滞后，特别是在大型企业和中小型企业中，依然是一个突出的安全问题。

2024年，多个企业和组织面临严重的网络安全攻击，以下是几个具有代表性的案例：

（1）勒索软件攻击：攻击者通过漏洞利用发起勒索软件攻击，尤其是在金融、医疗和教育行业。在2024年3月，某大型金融机构遭遇了一次针对其数据库管理系统（DBMS）漏洞的攻击，导致大量客户的敏感数据被加密，勒索软件要求支付赎金才解锁数据。该事件对金融行业造成了严重的财务损失，且导致大量客户流失。

（2）供应链攻击：通过第三方供应商的漏洞进行攻击，2024年爆发了数起著名的供应链攻击事件。某知名IT服务商的漏洞被攻击者利用，通过其提供的云服务对多个企业进行入侵，导致大量敏感信息泄露。这类攻击特别针对供应链中的第三方软件和组件，利用漏洞绕过了目标企业的内部防护系统。

（3）Web应用程序攻击：2024年，多个大型企业的Web应用程序遭遇SQL注入、跨站脚本（XSS）、远程代码执行（RCE）等常见漏洞攻击。攻击者通过这些漏洞实现了对用户账户的控制、敏感数据的窃取，以及对系统的破坏。

趋势分析：

勒索软件攻击的普遍化：勒索软件已经成为攻击者最常用的攻击方式之一，企业在遭遇勒索软件攻击时面临的不仅是数据的加密，还有企业运营的停滞、品牌损害以及法律责任。

供应链攻击的加剧：随着全球化的发展，企业的供应链日益复杂，漏洞被用来作为攻击的突破口。企业需要加强对供应链中第三方软件的审查与管理。

2024年，漏洞的影响范围不断扩展，尤其是在以下几个方面：

（1）全球影响：漏洞不仅仅影响特定区域或国家，全球化的企业和网络让漏洞可以迅速跨越边界，造成全球范围内的网络安全威胁。约10%的漏洞影响跨国企业和全球业务平台，涉及云计算、电子商务和金融等关键领域。

（2）跨行业影响：随着企业信息化程度的提高，漏洞的影响不仅仅局限于特定行业，而是跨越多个行业。能源、交通、医疗等关键行业成为攻击目标，云计算平台和供应链漏洞也成为黑客攻击的重点。

趋势分析：

跨国攻击和全球威胁：许多跨国企业因业务遍布全球，其面临的漏洞风险也更加复杂。不同国家的网络安全防护水平不同，导致漏洞的影响呈现出跨国扩展的趋势。

（1）零日漏洞：零日漏洞依然是攻击者利用的首选，尤其是在操作系统、Web应用、数据库管理系统等领域。通过零日漏洞，攻击者可以在厂商发布修复补丁之前，快速渗透到系统中，造成最大范围的破坏。

（2）远程代码执行漏洞（RCE）：远程代码执行漏洞仍是黑客攻击的高频漏洞类型，依然是2024年最为严重的漏洞类型，RCE漏洞在CVE中占比超过 30%，且比2023年增加了 5%，2024年通过RCE漏洞发起的攻击事件增加。这类漏洞能让攻击者远程控制受影响设备或系统，甚至获取管理员权限，导致系统完全失控。

（3）身份验证绕过漏洞：身份验证相关漏洞仍然高发，特别是在金融、电商平台等需要高安全级别认证的系统中，攻击者通过绕过身份验证机制，获取到用户账户或敏感数据。

（4）Web应用漏洞：随着Web应用的普及，SQL注入、跨站脚本攻击（XSS）、文件上传漏洞等依然是攻击的主要方式。Web应用中的SQL注入和跨站脚本漏洞仍然广泛存在，占比接近 25%，并且这些漏洞的利用广泛影响到电子商务平台、社交媒体平台和支付系统，Web应用漏洞的利用频率很高。

（1）企业与服务提供商：云计算、电子商务平台受到攻击，导致数据泄露和财务损失，2024年，电子商务平台的漏洞数量也呈现上升趋势，特别是针对购物车、支付系统和用户认证系统的攻击。该领域的漏洞数量为 1,700 个，比2023年增长了 15%。

（2）公共基础设施：能源管理、交通和医疗行业的漏洞增加，威胁到全球关键基础设施的安全，2024年，能源与基础设施行业的漏洞数量较为严重，尤其是与工业控制系统（ICS）相关的漏洞。2024年该领域披露的漏洞约为 1,500 个，比2023年增长了 20%。

（3）金融行业：金融行业依然是漏洞攻击的高危行业。2024年，金融行业的漏洞数量有所增加，特别是在支付系统和在线银行应用中的漏洞。根据CVE数据库，2024年金融行业相关的漏洞约为 2,100 个，比2023年增加了 22%。2024年，多个银行和金融服务平台成为攻击目标，黑客通过漏洞盗取银行账号、信用卡信息，甚至发起大规模的金融欺诈。

（4）医疗行业：医疗行业面临的漏洞威胁不断增加，2024年，医疗行业的漏洞披露量继续增加，尤其是涉及医疗设备（如心脏起搏器和病人监护设备）的漏洞。2024年披露的医疗行业漏洞数量约为 1,200 个，比2023年增加了 18%。2024年，多个医疗机构遭遇了数据泄露和勒索软件攻击。攻击者通过漏洞控制医院设备，导致患者的敏感健康数据泄露或设备被锁定。

新技术的引入虽然带来了许多便利和创新，但也不可避免地为网络安全带来了更多的漏洞和风险。

人工智能和机器学习在提升网络安全防御的同时，也被攻击者利用来增强攻击手段。通过AI技术，攻击者能够自动化识别系统中的漏洞，并快速展开定制化的攻击。由于AI能够模拟用户行为并进行持续学习，攻击者不仅能够规避传统的防火墙和入侵检测系统，还能够实时调整攻击策略，提高攻击的隐蔽性和破坏性。也就是说，随着AI技术的引入，攻击变得更加精准、快速和难以防范，系统漏洞暴露的风险随之增大。

云计算的普及使得企业和个人能够享受灵活、便捷的服务，但由于多租户架构的特点，多个客户共享同一物理服务器或资源池，这也意味着若某个租户的安全防护不力，可能会影响到其他租户的安全。更重要的是，云平台的动态性和复杂性加剧了漏洞的管理难度。在多租户环境中，攻击者只需突破一个租户的防护，就能够潜在地攻击整个云平台，导致大规模的数据泄露和系统瘫痪。因此，随着云计算的推广，攻击者有了更多的机会通过跨租户攻击、权限滥用等手段突破网络防线。

量子计算的出现，虽然在某些领域带来了突破性的进展，但也使得现有的加密技术面临威胁。当前广泛使用的加密算法（如RSA、ECC）无法抵御量子计算机的攻击，因为量子计算机能够在短时间内破解传统加密方法，从而导致敏感数据暴露。随着量子计算的发展，攻击者将能够利用这一技术更快速地突破现有的加密防线。虽然量子安全加密方案正在开发，但它们尚未普及，且仍面临许多技术挑战。因此，量子计算的兴起使得数据安全形势更加严峻。

IPv6虽然为互联网提供了更大的地址空间，但它的复杂性和与现有网络设备的不兼容性也为攻击者提供了新的攻击面。IPv6的一些新特性（如自动配置、隧道协议）在增强灵活性的同时，增加了网络环境的复杂性，使得防御系统更加难以应对。此外，由于IPv6的广泛部署尚处于过渡阶段，许多组织仍未完全为IPv6环境做好准备，存在配置错误和安全漏洞。因此，随着IPv6的普及，网络安全问题可能会更加严重。

5G网络带来了超高速的连接和低延迟的优势，但由于5G网络的高度互联性，物联网设备的广泛应用也为黑客提供了更多的攻击入口。许多物联网设备设计上存在安全漏洞，例如弱密码、未经加密的通信等，这些都使得攻击者可以轻松入侵设备并发起大规模的攻击。5G的网络架构复杂度高，网络边界不清，增加了攻击者利用漏洞进入核心网络的机会。随着新基建和工业互联网的快速发展，越来越多的关键基础设施（如电力、交通、制造业等）接入网络。然而，工业控制系统（ICS）往往没有针对现代网络攻击的防御能力，它们的设计通常注重实时性和稳定性，而非安全性。随着越来越多的工业设备联网，攻击者可以通过网络攻击渗透到这些关键系统，从而造成严重的物理损害或数据泄露。由于工业互联网的安全性仍处于较低水平，这为攻击者提供了更多的入侵机会。

新技术的引入使得网络攻击的复杂度和难度大大增加。虽然这些技术为我们带来了更多的便利和创新，但它们也提供了更多的漏洞和攻击面。AI、云计算、量子计算、IPv6、5G等技术在提升效率的同时，也让网络安全形势变得更加严峻。随着这些技术的不断发展，攻击者将能够利用现有的漏洞和新兴技术快速突破网络防线，因此，企业和个人必须更加警觉，加强对这些新技术可能带来的安全风险的防范与应对。

从关基单位、政企事业等单位的组织甲方视角来看，网络安全面临的挑战日益严峻。在过去的几年中，随着数字化转型的加速，尤其是2024年，关基单位和政企事业组织的网络安全现状呈现出新的痛点和复杂的安全威胁。

随着业务需求的不断增加，许多关基单位和政企事业单位的IT架构逐渐变得复杂，尤其是云计算、大数据、人工智能等新技术的广泛应用，导致系统间的连接变得更为紧密，攻防态势更加复杂。这种复杂性使得安全防御体系难以全面覆盖所有的业务场景和技术堆栈，尤其是在面对多个系统、平台和外部合作伙伴时，如何确保信息流的安全，成为一大难题。

许多关基单位和政企事业单位在转型过程中，未能及时进行有效的安全架构设计，造成了内外部系统间接口的安全漏洞。随着数字化业务快速拓展，过去单一的防护手段（如传统防火墙）已经不能满足现有的安全需求，导致出现了防护空白区。

2024年，网络攻击者利用高级持续性威胁（APT）进行针对性的渗透。APT攻击往往非常隐蔽，攻击者能够在网络中潜伏很长时间，逐步扩大攻击范围并窃取机密信息。这种攻击往往通过复杂的社会工程学手段进行，攻击者通过伪造合法邮件、身份等手段获取信任，突破防线。与此同时，零日漏洞的存在使得攻击者可以利用尚未被发现的漏洞进行攻击，增加了防御的难度。

关基单位和政企事业单位往往面临较高的安全风险，特别是在关键业务系统中，很多系统存在未经及时更新的漏洞，导致攻击者能够通过零日漏洞发动攻击。例如，某些遗留系统或供应链管理系统的漏洞，在未被检测到时，成为了攻击的目标。

内部威胁一直是网络安全中难以避免的问题。特别是在涉及敏感信息和高价值数据的组织中，内部人员的疏忽或恶意行为可能造成严重的安全事故。无论是员工因疏忽造成的账号泄露，还是通过社交工程学手段引导员工打开恶意链接，内部威胁始终存在。

许多关基单位和政企事业单位，对内部员工的安全意识和行为缺乏足够的培训和监控。员工使用不安全的密码、未及时更新的设备、对钓鱼邮件的防范意识不强，导致了大量的网络安全漏洞。

随着物联网设备和智能终端的普及，网络安全风险已经从传统的计算机系统扩展到各类智能设备和终端。很多设备没有足够的安全防护，容易成为攻击的入口，尤其是公共设施、工业设备等关基单位中，往往缺乏足够的物联网安全监控和管理。

不少关基单位仍未实现物联网设备的集中管理和安全防护，许多设备没有进行定期的漏洞扫描与补丁更新，成为网络攻击者的重要目标。例如，智能监控系统和远程控制设备如果被攻击者入侵，将对安全管理造成极大威胁。

结合静态与动态防御构建一个多层次的防御架构，可以有效抵御各种威胁。通过层层防御，能够确保即使一个防御层被突破，其他防御层也能提供补充保障。

边界防御层：这是静态防御的第一道屏障，包含防火墙、边界路由器、入侵防御系统（IDS/IPS）等设备，用于阻止外部攻击。

内部防御层：包括企业内部网络安全控制、访问控制、身份认证和数据加密等，防止内部威胁和已突破边界防线的攻击者进一步扩展。

应用层防御：应用防火墙、Web应用防护、API安全等措施，确保网络应用不被攻击者利用。

数据层防御：加密存储和传输中的数据，采用数据丢失防护（DLP）技术和备份策略，防止数据泄露和丢失。

检测与响应层：这就是动态防御的核心，结合安全监控、行为分析、SIEM系统、反病毒等技术，实时发现异常并作出响应。

随着供应链网络的复杂性增加，供应链中的任何一个环节可能成为攻击的突破口。未来，政企事业单位和关基单位需要加强对供应商和合作伙伴的安全审查，并确保供应链中的所有环节都具备较高的安全防护。建立供应链安全标准，确保第三方服务商和供应商遵循企业的安全政策。对重要的供应链系统进行定期的安全审计和渗透测试，评估安全风险。

零信任安全模型基于“默认不信任”的原则，所有访问请求都需要经过严格的身份验证和权限审查。这一模型特别适用于应对日益复杂的攻击方式，并且能够帮助企业控制敏感数据的访问权限。实施基于身份的访问控制（IAM），结合多因素认证（MFA）等技术，确保每个访问请求都得到严格审查。在企业内部实施细粒度的权限管理，防止权限过度集中和滥用。

随着网络攻击的复杂性和规模增大，手动响应已无法及时应对。未来，人工智能（AI）和机器学习（ML）技术将在网络安全中发挥重要作用，尤其是在快速检测和和响应方面。部署AI驱动的安全工具，如智能威胁检测、自动化响应系统，帮助快速识别攻击活动并采取应对措施。结合大数据分析技术，实时监控异常行为和攻击模式，提升对未知威胁的防御能力。

人是网络安全链条中最薄弱的一环。未来，组织必须重视员工的安全意识教育和培训，加强对钓鱼攻击、恶意链接等常见攻击手段的防范意识。定期开展安全培训和演练，模拟社交工程攻击、钓鱼邮件等常见威胁，帮助员工识别和应对潜在攻击。推动“安全即业务”的文化，将网络安全责任嵌入到每个员工的日常工作中。

传统防御是指通过固定的、预设的规则和方法来保护网络安全，这些防御措施不随攻击的变化而调整。常见的静态防御技术包括：防火墙、入侵检测系统（IDS）/入侵防御系统（IPS）、定期的安全更新和补丁 、固定的访问控制策略（如黑名单/白名单）等。

优点：

（1）实施简便：静态防御系统通常配置简单，易于管理。大多数传统防御工具都有清晰的规则和可操作的设置。

（2） 稳定性好：由于其静态特性，系统通常表现出较高的稳定性，一旦配置完成，维护工作较少。

（3）高效的已知威胁防护：对于已知的攻击手法或威胁，静态防御能通过固定的规则提供有效防护。

缺点：

（1）对新型攻击无效：静态防御依赖于预设规则和特征库，因此无法有效应对新的、未被发现的攻击或零日漏洞。

（2）攻击者容易绕过：一旦攻击者了解了防御规则，他们可以通过策略调整或利用已知漏洞绕过静态防御。

（3）缺乏灵活性：防御措施无法根据攻击者的变化或情境做出实时调整，导致防御无法及时应对复杂或持续变化的攻击。

动态防御是指根据网络环境、行为模式、威胁情报等实时信息不断调整和优化防御策略。动态防御结合了实时监控、人工智能（AI）、机器学习（ML）等技术，能够自动适应新的威胁并做出响应。

优点：

（1）有效应对新型攻击：动态防御能够实时监控、检测并适应新的威胁和攻击策略，减少了对未知攻击的防御盲区。

（2）高灵活性与适应性：系统能够根据攻击的实时情况动态调整防御策略。

（3）攻击识别能力强：通过行为分析、流量监控等技术，动态防御能够发现并阻止复杂的攻击行为，甚至在攻击者没有完全渗透时进行拦截。

（4）自动响应：动态防御可以实现自动化响应，例如在检测到攻击时立即进行隔离、封锁，减少响应时间。

缺点：

（1）复杂性高：实施动态防御需要高度的技术支持和资源，包括实时监控系统、人工智能技术和持续更新的威胁情报库，管理和配置的复杂性较高。

（2）误报和漏报：基于行为分析和机器学习的系统有时可能会出现误报（将正常活动识别为攻击）或漏报（未能识别复杂攻击），从而影响系统性能和安全性。

（3）成本较高：动态防御通常需要更多的硬件资源、技术支持和维护，增加了整体的成本。

即便网络安全体系结合了传统静态防御与动态防御，两者的配合仍然无法确保完全的防御成功，因为攻击者的手段持续进化，且攻击方式越来越复杂与隐蔽。这种日益变化的攻击技术和策略，让传统的防御模式逐渐暴露出局限性，甚至可能导致攻击者突破防线。

静态防御的局限性主要体现在依赖已知威胁模型和规则，它只能识别和防范已知的攻击行为，面对新型或变种的攻击时效果显著下降。攻击者的创新方式，如变种病毒或新型勒索软件，可能不在已有病毒库中，静态防御无法提前识别并阻止。此外，静态防御依赖的规则和签名只能在攻击发生后做出反应，无法阻止尚未记录的攻击手法，给攻击者提供了“空白期”，导致攻击成功的概率增加。滞后性也是静态防御的一个问题，尽管防火墙规则或病毒库定期更新，但更新频率与攻击者创新速度之间存在差距，攻击者通常能够在这一空隙中突破防线。

动态防御则依赖实时分析网络流量、用户行为和系统活动，通过检测异常来防范威胁，但它也并非无懈可击。动态防御面临误报与漏报的风险，许多合法操作可能被误判为攻击行为，此外，某些高隐蔽性的攻击也可能未被及时识别，特别是针对零日漏洞或加密流量的攻击。反应速度和适应性问题也是动态防御的挑战之一，攻击者能够快速调整策略，绕过防御系统，而系统可能未能及时作出调整。动态防御通常需要大量数据输入和复杂分析模型，这增加了系统的性能负担和运维复杂性，可能导致在处理大规模数据时出现瓶颈，进而影响防御效果。

网络攻击的核心往往围绕网络进行，攻击者通过互联网或其他网络渠道实施攻击，利用网络协议、通信过程中的漏洞或系统弱点，进行信息窃取、恶意软件传播、数据篡改等活动。传统的防御手段通常依赖于静态的分析模型，通过识别异常流量或行为来实现防御。然而，这种方式往往受到时间延迟和计算能力的限制，给了攻击者在系统发现和响应之间进行深入攻击的机会。

其中最为关键的是，如何有效、快速地识别并切断非法或不正当的访问行为。“颠覆式”动态防御的核心思想就是在网络攻击的早期阶段，即侦察阶段，提前发现并阻止攻击者的行动。在攻击的侦察阶段，攻击者主要通过公开信息收集，扫描目标的开放端口、操作系统、服务信息等，寻找潜在的漏洞。若能够在此阶段就采取措施，防止攻击者进一步深入，便能够有效避免后续更严重的攻击。

为了验证动态防御效果，卫达信息举办多次黑客挑战赛，在其“2023全球黑客挑战赛”中全球顶级黑客参赛，卫达信息将数千个客户正在使用的业务系统暴露在公网环境中，供参赛者进行攻防对抗。比赛没有人工值守，参赛者的目标是夺取特定文件，成功者将获得1000万元人民币的悬赏金。当黑客对目标进行攻击时，卫达信息的动态防御系统迅速将攻击路径变为复杂的迷宫，使得攻击者每一次尝试都被封堵，尽管目标文件遭遇了数百万次攻击，但最终比赛以“零攻破”的完美成绩圆满落幕。

卫达信息的动态防御理念聚焦于通过持续变化的防御策略来应对不同类型的网络攻击，推动了多种创新防御技术的应用。公司推出了一系列面向不同需求的“幻氏”系列产品，以应对各种复杂的网络安全挑战。

卫达信息“幻氏”系列产品通过全面、动态的防御方案，有效覆盖了企业网络安全的各个层级，包括边界防护、Web安全、应用安全、数据保护等，提供了一站式的网络安全体系建设服务。无论是针对内部威胁还是外部攻击，这些产品都能够实现高度集成与协同，为客户提供强大的网络安全保障。

卫达信息作为动态防御理念的领导者，深耕网络安全领域，专注于为各行各业提供创新的动态防御解决方案。公司在网络安全领域拥有丰富的建设经验，尤其擅长为各类重要行业的甲方客户设计并实施安全体系。其客户群体覆盖了军工、央国企、事业单位、关基单位、金融、能源、教育、医疗等多个领域，这些行业对于网络安全的需求非常复杂且多样。

卫达信息通过深入了解客户在信息化转型过程中面临的网络安全现状及痛点，成功帮助各类客户构建起稳固的网络安全防护体系。这些客户涉及的行业都需要应对巨大的数据保护压力及不断变化的网络攻击威胁，卫达的产品因此在设计时不仅注重技术创新，更结合了客户实际的需求和现场环境进行定制研发，确保每一款产品都能“防得住、攻不破、打得赢”。

通过创新与实践，卫达信息已经成功帮助众多企业在面对复杂多变的网络安全挑战时，建立完善的安全防护体系。这种结合实际需求、贴合现场环境中研发出来的防护体系，不仅提升了客户的安全防护能力，也在整个行业内树立了典范，推动了网络安全技术的发展和应用。