中国信息安全测评中心：2022上半年网络安全漏洞态势观察报告（46页）.pdf

1、 摘 要 摘 要 2022 年上半年，网络安全漏洞形势依旧严峻，高危漏洞数量不断增长，漏洞利用渐趋隐蔽，融合叠加风险攀升，在野漏洞利用成为重大网络安全热点事件的风险点以及国家级 APT 活动的新手段。美欧国家从漏洞发现收集、修复消控、协同披露、出口管制等层面加大管控力度。2022 上半年网络安全漏洞态势观察 报告围绕漏洞数量变化趋势、漏洞危害、漏洞利用、漏洞管控等内容，把握总体形势，分析关键漏洞现实威胁，并在漏洞管控与综合治理、感知与预警、供应链安全与开源治理等方面提出对策建议。报告主要观点如下：1、在漏洞数量方面，漏洞增长创新高，网络安全威胁持续加剧。1、在漏洞数量方面，漏洞增长创新高，网络

2、安全威胁持续加剧。漏洞总量环比增长达到 12%；危害程度较大漏洞仍然是热点，超高危漏洞占比超过 50%；微软、谷歌等美企大厂产品漏洞多发，持续成为安全研究焦点；开源软件漏洞频发，软件供应链安全风险凸显。2、在漏洞利用方面，漏洞在野利用形势严峻，漏洞实战化趋势明显。2、在漏洞利用方面，漏洞在野利用形势严峻，漏洞实战化趋势明显。漏洞 POC/Exploit 公开广泛传播，为漏洞实战化提供便利；在野漏洞利用不断增多，APT 组织漏洞利用异常活跃；在野利用漏洞私有化、漏洞工具囤积严重。3、在漏洞现实威胁方面，高价值漏洞“寄生”于多类目标，现实危害严重，影响持久。3、在漏洞现实威胁方面，高价值漏洞“寄生

3、”于多类目标，现实危害严重，影响持久。边界设备、操作系统、服务器软件、开源组件、协同办公软件、云原生、移动终端等目标对象漏洞在攻击活动中频繁现身；攻击者通过漏洞攻破网络“大门”、横向移动传播、获取控制权、破坏或窃取数据形成完整网络攻击组合拳；漏洞修复不完善引发“次生灾害”，历史漏洞重复利用或修复后再被突破，对漏洞治理提出更高要求。4、在管控政策方面，漏洞披露与保留博弈深化。4、在管控政策方面，漏洞披露与保留博弈深化。美欧根据形势不断制定或修订政策法规，加强漏洞资源管控；漏洞披露、共享在国家、企业间的“圈子化”趋势明显，漏洞战略地位凸显。5、在对策建议方面，多措并举加强漏洞安全防范与保障成为当务

4、之急。5、在对策建议方面，多措并举加强漏洞安全防范与保障成为当务之急。一是进一步强化国家级网络安全漏洞综合治理能力，加强漏洞管控统筹协调，提升漏洞资源共享共治水平。二是建设国家级漏洞感知与预警机制，提升漏洞发现与处置能力。三是积极推进 ICT 供应链安全治理，完善符合我国情的开源生态。致致 谢谢 感谢以下人员为本报告编制付出的辛勤劳动。指导专家（按姓氏笔画排序，排名不分先后）朱钱杭（启明星辰 Adlab）张 超（清华大学）张云海（绿盟科技天机实验室）汪列军（奇安信威胁情报中心）郑文彬（北京赛博昆仑科技有限公司）龚 广（360 漏洞研究院）隋 刚（知道创宇 404 实验室）参编单位 中国信息产业

5、商会信息安全产业分会 奇安信 威胁情报中心 360 漏洞研究院 北京知道创宇信息技术股份有限公司 版权声明 本报告版权属于中国信息安全测评中心、中国信息产业商会信息安全产业分会，并受法律保护。转载、摘编或利用其它方式使用本报告中的文字、图片或观点的，应注明来源，违者将被追究法律责任。I 目 录 一、聚米为山一、聚米为山从统计数据看漏洞态势从统计数据看漏洞态势 .1 1（一）超高危漏洞数量持续攀升，利用难度低危害大的漏洞仍是热点.1（二）美企大厂产品漏洞多发，持续成为安全研究焦点.2（三）供应链安全风险凸显，开源软件漏洞“风头正劲”.3（四）漏洞 POC/Exploit 信息增加，漏洞利用实战化

6、态势明显.5（五）在野漏洞利用不断增多，APT 组织囤积漏洞工具蓄势待发.5 二、见微知著二、见微知著从“明星”漏洞看现实威胁从“明星”漏洞看现实威胁 .9 9（一）操作系统及服务端漏洞助攻击者获得较高控制权限.9（二）开源组件及软件漏洞波及范围广.11（三）协同办公软件漏洞危及企业运行.12（四）云原生及虚拟化漏洞影响云基础设施安全.14（五）边界设备漏洞使网络“大门失守”.16（六）移动终端漏洞威胁个人隐私及数据安全.17 三、落叶知秋三、落叶知秋从漏洞态势看威胁变革从漏洞态势看威胁变革 .1919（一）漏洞作为战略资源的地位愈发凸显.19（二）各类目标高价值漏洞层出不穷.21（三）漏洞利