奇安信：2021年度漏洞态势观察报告（75页）.pdf

1、 在数字的世界里，安全是一个永恒的话题。回顾刚刚过去的 2021 年，安全事件频发，网络攻击愈演愈烈，2021 年第二季度网络攻击量达到 2018 年初以来最高值。一方面，安全研究人员规模在不断扩大，不断挖掘和修复新的安全漏洞维护网络安全；另一方面，随着厂商安全性的提高，及时分发补丁策略，黑客组织不惜使用 0day 漏洞发起攻击。网络空间的战场看不见硝烟，却和我们的生活越来越息息相关，开源应用安全、云安全、供应链安全越来越多的受到大家关注。 奇安信 CERT2021 年度漏洞态势观察报告围绕漏洞监测、漏洞分析与研判、漏洞情报获取、漏洞风险处置等方面描绘过去一年全网漏洞态势，并对2021 年度有

2、现实威胁的漏洞进行重点分析和回顾。思考在漏洞造成实际危害前，对于个人、企业以及漏洞情报供应商而言，可以采取哪些措施来有效隔离风险。基于我们所收集到的事实，本报告的主要洞见如下： 1. 尽管存在对应 Exploit（漏洞利用代码或工具）的漏洞占到了总漏洞数的22.06%， 但其中的大部分并未监测到实际利用的发生， 漏洞是否真的被利用，还取决于漏洞的可达性、利用条件和危害程度。从公开信息来看，实际存在实际存在野外利用的漏洞，仅占漏洞总量的野外利用的漏洞，仅占漏洞总量的 1 %1 % 2 2 % %左右左右。所以，基于威胁情报的漏基于威胁情报的漏洞处理优先级排序对于威胁的消除将起到事半功倍的效果。洞

3、处理优先级排序对于威胁的消除将起到事半功倍的效果。 2. 另一方面看漏洞的利用，已知存在野外利用的漏洞有 46%也就是一小半左右并没有公开的漏洞 Exploit，这个事实暗示了一大部分漏洞的威胁并没有显一大部分漏洞的威胁并没有显式的呈现，攻击面的削减式的呈现，攻击面的削减管理也非常重要管理也非常重要。 3. 2021 年的攻防演习期间大量的 0day 漏洞被使用，其中很大部分为国外漏洞库并不收录的国产软件漏洞， 这些漏洞如果被国家级的对手利用将导致非常严重的后果。 事实上我们看到的活跃国外事实上我们看到的活跃国外 APTAPT 组织已经在这样做了， 提示组织已经在这样做了， 提示了了国内挖掘国

4、内挖掘自己特有软件漏洞自己特有软件漏洞并共享情报并共享情报的高度必要性的高度必要性。 4. 明星漏洞存在很强的聚光灯效应， 当某个软件明星漏洞存在很强的聚光灯效应， 当某个软件出现重大漏洞出现重大漏洞时时会会引起超高关引起超高关 注度的产品极易在未来一段时间注度的产品极易在未来一段时间出现更多漏洞出现更多漏洞，如：Apache Log4j 连续被曝 4 个远程代码执行漏洞、Microsoft Exchange Server 在被曝出ProxyLogon 漏洞之后又出现了 ProxyShell 等漏洞。但是，由由于于明星漏洞衍明星漏洞衍生出来的新漏洞大概率未必有同等的威胁和影响面， 需要漏洞情报

5、分析运营生出来的新漏洞大概率未必有同等的威胁和影响面， 需要漏洞情报分析运营团队进行深入的研判确认其利用真正的威胁团队进行深入的研判确认其利用真正的威胁，非常考验团队的响应能力。 5. 由于多种技术层面以外因素的影响，相同 CVSS 评分的漏洞所能导致实际安全风险往往天差地别， 结合情报的导致影响威胁升级的关键因素监测，确认结合情报的导致影响威胁升级的关键因素监测，确认漏洞对于风险的影响才具备了真正的动态性漏洞对于风险的影响才具备了真正的动态性。 6. 有效的漏洞情报可以帮助用户快速、 准确、 全面的定位资产相关的漏洞风险，在详细多角度的处理方案的建议下实现相应威胁的消除和缓解。 基于漏洞对不

6、同类型用户的影响和处理要求，个人用户、企业用户以及安全监管单位在漏洞情报的选择上应遵循“C C 端用户挑产品、端用户挑产品、B B 端用户挑服务、监管机构挑端用户挑服务、监管机构挑供应商供应商”的原则”的原则。 1 2021 年度漏洞态势 . 1 1.1 年度漏洞处置情况 . 1 1.2 漏洞风险等级占比情况 . 3 1.3 漏洞威胁类型占比情况 . 4 1.4 漏洞影响厂商占比情况 . 5 1.5 关键漏洞占比情况 . 6 1.6 年度安全大事件 . 8 1.6.1 背景介绍 . 8 1.6.2 事件描述 . 10 1.6.3 事件影响 . 11 2 2021 年度关键漏洞回顾 . 13 2