9 月 26 日，“ 2024 中國數(shù)字經(jīng)濟創(chuàng)新發(fā)展大會”在汕頭成功召開，大會匯聚業(yè)界精英，旨在全面探討在新形勢新挑戰(zhàn)下，如何“健全數(shù)據(jù)安全體系 構(gòu)建可信流通環(huán)境”。在「數(shù)據(jù)安全與合規(guī)發(fā)展專題」分論壇上，工業(yè)和信息化部電子第五研究所軟件與系統(tǒng)研究院數(shù)據(jù)治理中心副主任李帥，分享了《 2024 上半年網(wǎng)絡(luò)安全漏洞態(tài)勢報告》，該報告由工業(yè)和信息化部電子第五研究所軟件與系統(tǒng)研究院科研創(chuàng)新部與深信服千里目安全技術(shù)中心聯(lián)合編寫。

隨著新興技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全漏洞的形態(tài)和利用手段也在不斷演變，網(wǎng)絡(luò)安全挑戰(zhàn)日益嚴峻。本報告從網(wǎng)絡(luò)安全漏洞總體視角出發(fā)，統(tǒng)計全球漏洞數(shù)據(jù)，分析 2024 上半年漏洞發(fā)展態(tài)勢與流行利用趨勢;并圍繞攻防場景中的漏洞利用新變化、國內(nèi)外開源軟件漏洞發(fā)展新趨勢、以及人工智能對漏洞利用與防御的影響三大角度展開分析，希望能夠為網(wǎng)絡(luò)安全行業(yè)提供有效參考。

一起深入了解 2024 年漏洞利用有哪些新趨勢新變化，并探討如何應(yīng)對這些新的挑戰(zhàn)!

0day漏洞的利用呈現(xiàn)出新特點

根據(jù)已知被利用漏洞(KEV)目錄收錄的數(shù)據(jù)分析，在產(chǎn)品分布上，操作系統(tǒng)和瀏覽器的0day漏洞數(shù)量依然最多，而近兩年來，隨著主流瀏覽器加強防御措施，瀏覽器0day漏洞的占比有所下降。由于主流瀏覽器組件具有通用性，利用第三方組件漏洞進行供應(yīng)鏈攻擊的行為愈加頻繁。針對移動設(shè)備的0day漏洞利用手段不斷升級，攻擊者將此類漏洞制作成間諜軟件進行商業(yè)化，近50%被用于執(zhí)行間諜活動。同時，漏洞修復(fù)不徹底也導(dǎo)致新的0day漏洞頻繁出現(xiàn)。

這些變化，要求我們在網(wǎng)絡(luò)安全工作中，對安全漏洞的防御和修復(fù)投入更多精力，特別是對第三方組件、移動設(shè)備的安全性給予更多關(guān)注，避免潛在的網(wǎng)絡(luò)攻擊。

攻防場景中，漏洞利用手段更加高 級

在攻防場景中，漏洞利用仍是攻擊方入侵的重要手段。據(jù)統(tǒng)計， 2024 攻防演練期間，共狩獵到 197 個有攻擊代碼披露的漏洞。攻擊者越來越多地利用邏輯類和傳輸加密類0day漏洞，以隱藏攻擊特征，提升攻擊的隱蔽性。漏洞利用方式也更具針對性，從戰(zhàn)前儲備0day漏洞向戰(zhàn)前儲備和后期新挖掘0day結(jié)合的方式轉(zhuǎn)變，這一變化與攻防活動周期延長有關(guān)。攻擊者更傾向于通過多個0day、Nday組合利用，開發(fā)工具形成自動化攻擊鏈，漏洞利用手段更高 級;也會通過適用范圍廣泛的組件、供應(yīng)鏈漏洞開展攻擊，危害范圍更廣。

在攻防場景中，防御者需要提升對0day高可利用漏洞的檢測和防護能力，及時發(fā)現(xiàn)并修復(fù)通用組件Nday漏洞，采取全方位的安全防護措施，以保障組織網(wǎng)絡(luò)安全。

開源軟件漏洞的治理仍是難點議題

開源軟件作為軟件供應(yīng)鏈的重要組成部分，一旦爆發(fā)嚴重漏洞將對整個軟件供應(yīng)鏈帶來極大安全風險，然而，開源軟件漏洞的治理仍存在諸多難題。

開源軟件漏洞傳播范圍廣，危害性沿供應(yīng)鏈傳播且逐級放大。據(jù)調(diào)查，開源組件漏洞一級傳播(直接依賴)影響范圍擴大 125 倍，二級傳播(間接依賴)影響范圍擴大 173 倍。開源軟件漏洞持續(xù)時間長， 2021 年爆發(fā)的Log4j2 漏洞要十余年才能修完，期間將持續(xù)引發(fā)安全風險。開源社區(qū)的規(guī)模及活躍度參差不齊，導(dǎo)致開源軟件漏洞修復(fù)與維護成本高，責任落實難。

為維護開源軟件安全，需加快開源軟件漏洞治理的步伐，建立健全漏洞風險防范制度、重視科研創(chuàng)新與人才培育，提升開源軟件安全開發(fā)能力，建立一體化的協(xié)同治理體系。

漏洞利用與治理邁向“智能化對抗”

人工智能技術(shù)的發(fā)展為漏洞利用與治理都帶來了新的變化。一方面，AI大模型的應(yīng)用降低了漏洞利用的攻擊門檻，使得初級黑客也能批量生產(chǎn)攻擊腳本和工具。未來，人工智能可能完全替代人類黑客執(zhí)行攻擊任務(wù)。

與此同時，AI技術(shù)已成熟應(yīng)用于漏洞挖掘、未知漏洞獵捕、漏洞優(yōu)先級排序、漏洞修復(fù)等關(guān)鍵環(huán)節(jié)的自動化和精細化管理，提高了漏洞檢測和修復(fù)的效率。例如，深信服自研的安全大模型-安全GPT，對比傳統(tǒng)引擎檢出率從45.6%提升至95.7%，誤報率從21.4%下降到4.3%。利用自研的AI安全大腦，實現(xiàn)了準確識別高 級威脅和自動化安全值守。自 2023 年 5 月發(fā)布至今，深信服安全GPT已經(jīng)成功捕獲了300+個在野0day漏洞。

進入更激烈的“智能化對抗時代”，需要我們更好地利用AI技術(shù)提升安全漏洞防御能力 ，加強對潛在威脅的預(yù)見性和響應(yīng)速度，優(yōu)化安全防護流程，為加固網(wǎng)絡(luò)安全防線提供更強有力的工具。

網(wǎng)絡(luò)安全漏洞治理是一場持久戰(zhàn)，需要不斷適應(yīng)新趨勢新挑戰(zhàn)，采取創(chuàng)新策略。深信服將繼續(xù)與全行業(yè)共同推動網(wǎng)絡(luò)安全漏洞治理能力的創(chuàng)新和發(fā)展，為構(gòu)建更加安全、穩(wěn)定、可靠的網(wǎng)絡(luò)環(huán)境提供堅實的技術(shù)支持和保障。

[關(guān)注深信服科技官方公眾號或深信服科技官網(wǎng)，免費獲取報告全文]

（推廣）