近日，奇安信CERT正式對外發布了《2021年度漏洞態勢觀察報告》（簡稱《報告》），圍繞漏洞監測、漏洞分析與研判、漏洞情報獲取、漏洞風險處置等方面描繪過去一年全網漏洞態勢。

急劇上漲150%，漏洞管理幾多愁

《報告》顯示，2021年奇安信CERT新收錄漏洞信息21664個（其中20206條有效漏洞信息在NOX安全監測平臺上顯示），經NOX安全監測平臺篩選后有14544個敏感漏洞信息觸發人工研判，其中2124個漏洞影響較大，觸發了奇安信CERT的應急響應流程。據奇安信CERT負責人汪列軍介紹，相較于2020年，觸發應急響應流程的漏洞數量增長了150%以上。

結合CVSS評價標準以及漏洞產生的實際影響，奇安信CERT將漏洞定級分為極危、高危、中危、低危四種等級，低危漏洞利用較為復雜或對可用性、機密性、完整性造成的影響較低；中危漏洞的影響介于高危漏洞與低危漏洞之間；高危漏洞極大可能造成較嚴重的影響或攻擊成本較低；極危漏洞無需復雜的技術能力就可以利用，并且對機密性、完整性和可用性的影響極高。在奇安信CERT初步研判過的2124條漏洞中，低危漏洞占比17.43%，中危漏洞占比31.60%，高危漏洞占比50.35%，極危漏洞占比0.62%。

按照漏洞類型來看，其中漏洞數量占比最高的五種類型分別為：代碼執行、信息泄露、權限提升、拒絕服務、內存損壞。相較而言，這些類型的漏洞通常很容易被發現、利用，并且可以讓攻擊者完全接管系統、竊取數據或阻止應用程序運行，因而具有很高的危險性，是安全從業人員的重點關注對象。2021年12月爆發的Apache Log4j2漏洞即屬于代碼執行漏洞，并且幾乎不需要任何交互操作，即可遠程執行任意代碼，影響范圍極廣，危害性極大。

另外值得注意的是，在2021 年奇安信CERT漏洞庫新增的21,664個漏洞中，存在Exploit（漏洞利用代碼或者工具）的漏洞數量為4,779個（占漏洞總量的22.06%）、有在野利用漏洞數量為337個，0day漏洞數量為23個、APT相關漏洞數量為88個。

基于漏洞情報的閉環運營必不可少

“盡管存在對應 Exploit（漏洞利用代碼或工具）的漏洞占到了總漏洞數的22.06%，但其中的大部分并未監測到實際利用的發生。”汪列軍說，《報告》顯示，從公開信息來看，實際存在野外利用的漏洞，僅占漏洞總量的 1 %~2 %左右。漏洞是否真的被利用，還取決于漏洞的可達性、利用條件和危害程度。

其次，盡管美國國家漏洞庫（NVD）會給出漏洞評分（CVSS，0-10分，往往分數越高就越嚴重），由于多種技術層面以外因素的影響，相同CVSS評分的漏洞所能導致實際安全風險往往天差地別。同樣 CVSS3 10分的漏洞，就僅在易用性穩定性上的差異，就會使Apache Log4j2這樣頂級漏洞與其他同樣 10 分漏洞在實際威脅上判若云泥。

第三，“明星漏洞”存在很強的聚光燈效應，必然引起安全人員的廣泛關注。因此，當某個軟件出現重大漏洞時，該軟件或者其相關產品很容易連續曝光多個漏洞。如：Apache Log4j連續被曝 4個漏洞、Microsoft Exchange Server在被曝出ProxyLogon 漏洞之后又出現了ProxyShel 等漏洞。但是，由于明星漏洞衍生出來的新漏洞大概率未必有同等的威脅和影響面，需要漏洞情報分析運營團隊進行深入的研判確認其真正的威脅。

從這些角度來看，面對日益嚴峻的漏洞威脅態勢，相當一部分漏洞并不會對組織造成實際危害，安全人員也并非“無跡可尋”，而是可以基于漏洞情報，確認漏洞對于風險的影響，完成漏洞處理優先級排序，削減組織攻擊面，從而起到事半功倍的效果。

報告下載鏈接：https://www.qianxin.com/threat/reportdetail?report_id=148