2021年“十四五”开局,我国数字化建设迎来高速发展阶段,网络安全作为数字中国建设的重要一环,也迎来跨步发展。漏洞向来是造成网络安全问题的核心根源,引发众多网络安全威胁,乃至用户人身安全的事件产生。
据CNVD公开数据显示,2020年披露漏洞共20248枚,2021年披露漏洞17702枚,同比降低13%。 天融信(002212)阿尔法实验室发布《2021年网络空间安全漏洞调研分析报告》,报告 显示,2021年1-12 月,低危漏洞 33.5%,中危漏洞 57.3%,高危漏洞 9.2%;2021年高危漏洞类型分布更是相对集中,代码执行类型的漏洞占比较高,这类高危漏洞对网络空间安全的威胁远远高于其他类型漏洞,此类高危漏洞数量的占比也预示了当前严峻的网络安全态势。
报告从「2021年度漏洞趋势概况」、「2021年度高危漏洞预警情况概述」、「2021年度漏洞总结」三大部分,探究漏洞威胁的现状及发展趋势,为广大企事业客户、安全运维人员等应对漏洞威胁提供指导。
2021年度漏洞趋势概况
01
CNVD漏洞库安全漏洞调研概况
漏洞的统计与评判是评估网络安全情况的一个重要指标,天融信阿尔法实验室参考CNVD漏洞数据库数据,从「漏洞威胁等级统计」、「漏洞利用攻击位置统计」、「漏洞影响对象类型统计」、「漏洞产生原因统计」、「漏洞引发威胁统计」、「漏洞增长趋势」对 2021 年披露的漏洞进行了全方位的统计分析。
左右滑动查看更多
(图中数据来自于CNVD)
02
CVE漏洞库安全漏洞调研概况
通过对CVE在2021年公布的漏洞按CVSS评分高低进行排序,天融信筛选了CVSS基本评分最高的前100个漏洞进行统计分析。此次统计分析主要从「漏洞所影响厂商」、「影响平台」、「攻击途径」、「披露时间」、「漏洞类型」以及「POC公开情况」等6个方面展开。
左右滑动查看更多
(图中数据来自于CVE)
2021年度高危漏洞预警情况概述
2021年,天融信阿尔法实验室通过漏洞监测系统共监测发现各类漏洞信息46316条,经过漏洞监测系统自动智能筛选后留存高危漏洞信息462条,进一步经人工研判后发布高危漏洞风险提示通告66条。涉及众多厂商的软件产品,由漏洞引发的安全威胁呈现多样化,统计结果显示,主流操作系统是漏洞高发产品。2021年针对Microsoft厂商漏洞预警次数达16次,其中Windows系统的漏洞占大多数。Weblogic、Log4j2、Xstream、VMware等关键基础设施漏洞也是受关注度较高的方向。
年度TOP10高危漏洞
危害程度 排名 |
漏洞编号 |
标题 |
NO.1 |
CVE-2021-44228 |
Apache Log4j2任意代码执行漏洞 |
NO.2 |
CVE-2021-2394 |
Weblogic任意代码执行漏洞 |
NO.3 |
CVE-2021-2397 CVE-2021-2382 |
Oracle任意代码执行漏洞 |
NO.4 |
CVE-2021-24074 CVE-2021-24094 CVE-2021-24086 |
Windows的TCP/IP协议簇远程代码执行漏洞&拒绝服务漏洞 |
NO.5 |
CVE-2021-22005 |
VMware vCenter Server未授权任意文件上传漏洞 |
NO.6 |
CVE-2021-42321 |
Microsoft Exchange Server远程代码执行漏洞 |
NO.7 |
CVE-2021-42287 |
Microsoft Windows Active Directory 域服务权限提升漏洞 |
NO.8 |
CVE-2021647 |
Windows Defender远程代码执行漏洞 |
NO.9 |
CVE-2021-25646 |
Apache Durid 远程代码执行 |
NO.10 |
CVE-2021-26919 |
Apache Druid 远程代码执行漏洞 |
2021年度漏洞总结
同往年相比,2021年漏洞数量增长放缓,但并不意味着来自互联网的危害因此而降低,相反,漏洞公开的数量放缓某种程度上意味着更多的漏洞有可能选择被武器化,而选择不进行公开。
年底披露的Log4j2漏洞一经发布,震动整个国内外的安全行业,甚至整个国内外的IT 界,使用该组件的应用极为广泛,导致无数引用该组件的系统和开源组件受到波及。随着Log4j2远程代码执行漏洞的扩散,供应链安全的脆弱性再次受到广大厂商们的关注。在整个供应链中,大批供应商在开发程序时选择引入第三方库,有的项目甚至引入上百个之多,而这些第三方库一旦某一个存在安全问题,就会让企业暴露在安全风险之下,有可能导致企业重要系统被植入勒索病毒、服务器崩溃、用户数据及员工个人信息泄露,甚至是企业商业机密泄露等风险,从而引发无穷的隐患。
减少漏洞是避免安全事件发生的根源,这就要求开发人员在掌握编程能力的同时,还应具备安全开发意识。开发人员不仅需要熟悉CWE TOP25(MITRE公布的前25个最危险软件安全缺陷知识库)漏洞的成因及危害,还应将安全性测试环节添加到软件的开发过程中,使得项目具备DevSecOps能力,至少应在软件开发过程中增加代码审计工程师或代码审计工具对代码进行审计。只有提升漏洞管理效率,才是高效的安全处理法则。
您访问的链接即将离开
“汉中市工业和信息化局”网站
是否继续?