信息化觀察網(wǎng)

本文來自深信服科技。

9月26日,“2024中國數(shù)字經(jīng)濟創(chuàng)新發(fā)展大會”在汕頭成功召開,大會匯聚業(yè)界精英,旨在全面探討在新形勢新挑戰(zhàn)下,如何“健全數(shù)據(jù)安全體系

構建可信流通環(huán)境”。在「數(shù)據(jù)安全與合規(guī)發(fā)展專題」分論壇上,工業(yè)和信息化部電子第五研究所軟件與系統(tǒng)研究院數(shù)據(jù)治理中心副主任李帥,分享了《2024上半年網(wǎng)絡安全漏洞態(tài)勢報告》,該報告由工業(yè)和信息化部電子第五研究所軟件與系統(tǒng)研究院科研創(chuàng)新部與深信服千里目安全技術中心聯(lián)合編寫。

隨著新興技術的飛速發(fā)展,網(wǎng)絡安全漏洞的形態(tài)和利用手段也在不斷演變,網(wǎng)絡安全挑戰(zhàn)日益嚴峻。本報告從網(wǎng)絡安全漏洞總體視角出發(fā),統(tǒng)計全球漏洞數(shù)據(jù),分析2024上半年漏洞發(fā)展態(tài)勢與流行利用趨勢;并圍繞攻防場景中的漏洞利用新變化、國內外開源軟件漏洞發(fā)展新趨勢、以及人工智能對漏洞利用與防御的影響三大角度展開分析,希望能夠為網(wǎng)絡安全行業(yè)提供有效參考。

一起深入了解2024年漏洞利用有哪些新趨勢新變化,并探討如何應對這些新的挑戰(zhàn)!

0day漏洞的利用呈現(xiàn)出新特點

根據(jù)已知被利用漏洞(KEV)目錄收錄的數(shù)據(jù)分析,在產(chǎn)品分布上,操作系統(tǒng)和瀏覽器的0day漏洞數(shù)量依然最多,而近兩年來,隨著主流瀏覽器加強防御措施,瀏覽器0day漏洞的占比有所下降。由于主流瀏覽器組件具有通用性,利用第三方組件漏洞進行供應鏈攻擊的行為愈加頻繁。針對移動設備的0day漏洞利用手段不斷升級,攻擊者將此類漏洞制作成間諜軟件進行商業(yè)化,近50%被用于執(zhí)行間諜活動。同時,漏洞修復不徹底也導致新的0day漏洞頻繁出現(xiàn)。

這些變化,要求在網(wǎng)絡安全工作中,對安全漏洞的防御和修復投入更多精力,特別是對第三方組件、移動設備的安全性給予更多關注,避免潛在的網(wǎng)絡攻擊。

攻防場景中,漏洞利用手段更加高級

在攻防場景中,漏洞利用仍是攻擊方入侵的重要手段。據(jù)統(tǒng)計,2024攻防演練期間,共狩獵到197個有攻擊代碼披露的漏洞。攻擊者越來越多地利用邏輯類和傳輸加密類0day漏洞,以隱藏攻擊特征,提升攻擊的隱蔽性。漏洞利用方式也更具針對性,從戰(zhàn)前儲備0day漏洞向戰(zhàn)前儲備和后期新挖掘0day結合的方式轉變,這一變化與攻防活動周期延長有關。攻擊者更傾向于通過多個0day、Nday組合利用,開發(fā)工具形成自動化攻擊鏈,漏洞利用手段更高級;也會通過適用范圍廣泛的組件、供應鏈漏洞開展攻擊,危害范圍更廣。

在攻防場景中,防御者需要提升對0day高可利用漏洞的檢測和防護能力,及時發(fā)現(xiàn)并修復通用組件Nday漏洞,采取全方位的安全防護措施,以保障組織網(wǎng)絡安全。

開源軟件漏洞的治理仍是難點議題

開源軟件作為軟件供應鏈的重要組成部分,一旦爆發(fā)嚴重漏洞將對整個軟件供應鏈帶來極大安全風險,然而,開源軟件漏洞的治理仍存在諸多難題。

開源軟件漏洞傳播范圍廣,危害性沿供應鏈傳播且逐級放大。據(jù)調查,開源組件漏洞一級傳播(直接依賴)影響范圍擴大125倍,二級傳播(間接依賴)影響范圍擴大173倍。開源軟件漏洞持續(xù)時間長,2021年爆發(fā)的Log4j2漏洞要十余年才能修完,期間將持續(xù)引發(fā)安全風險。開源社區(qū)的規(guī)模及活躍度參差不齊,導致開源軟件漏洞修復與維護成本高,責任落實難。

為維護開源軟件安全,需加快開源軟件漏洞治理的步伐,建立健全漏洞風險防范制度、重視科研創(chuàng)新與人才培育,提升開源軟件安全開發(fā)能力,建立一體化的協(xié)同治理體系。

漏洞利用與治理邁向“智能化對抗”

人工智能技術的發(fā)展為漏洞利用與治理都帶來了新的變化。一方面,AI大模型的應用降低了漏洞利用的攻擊門檻,使得初級黑客也能批量生產(chǎn)攻擊腳本和工具。未來,人工智能可能完全替代人類黑客執(zhí)行攻擊任務。

與此同時,AI技術已成熟應用于漏洞挖掘、未知漏洞獵捕、漏洞優(yōu)先級排序、漏洞修復等關鍵環(huán)節(jié)的自動化和精細化管理,提高了漏洞檢測和修復的效率。例如,深信服自研的安全大模型-安全GPT,對比傳統(tǒng)引擎檢出率從45.6%提升至95.7%,誤報率從21.4%下降到4.3%。利用自研的AI安全大腦,實現(xiàn)了精準識別高級威脅和自動化安全值守。自2023年5月發(fā)布至今,深信服安全GPT已經(jīng)成功捕獲了300+個在野0day漏洞。

進入更激烈的“智能化對抗時代”,需要更好地利用AI技術提升安全漏洞防御能力,加強對潛在威脅的預見性和響應速度,優(yōu)化安全防護流程,為加固網(wǎng)絡安全防線提供更強有力的工具。

網(wǎng)絡安全漏洞治理是一場持久戰(zhàn),需要不斷適應新趨勢新挑戰(zhàn),采取創(chuàng)新策略。深信服將繼續(xù)與全行業(yè)共同推動網(wǎng)絡安全漏洞治理能力的創(chuàng)新和發(fā)展,為構建更加安全、穩(wěn)定、可靠的網(wǎng)絡環(huán)境提供堅實的技術支持和保障。