实战攻防季:主动猎捕,让0day漏洞无处遁形

2024-05-21 16:58:28     来源:

2024实战攻防演练即将开启,网络安全形势日益复杂,攻击方的攻击手段不断升级,0day漏洞的利用愈发频繁,成为防守方必须警惕的“隐形陷阱”。在实战较量中,防御一旦出现滞后则可能带来严重的安全风险。

2023 年深瞳漏洞实验室猎捕到100+个 Web 场景下的在野利用 0day 漏洞,其中 50% 以上出现在实战攻防演练场景中,下表列举了去年影响较大的0day漏洞。各防守单位也可加强注意,实战攻防演练期间,一定要对历史漏洞进行提前检测并加强防护,做好0day攻击的主动猎捕和快速处置。

以上内容出自由深信服千里目安全技术中心深瞳漏洞实验室出品的《2023漏洞威胁分析报告》,报告基于对2023年全球漏洞情况的跟踪与分析,全面梳理了漏洞威胁的数量、类型、危害的全貌,对2024漏洞威胁的发展趋势和特点做出研判,并提出应对漏洞威胁的针对性思路和解决方案。

一组“数据清单” 窥见漏洞威胁演变趋势

国家信息安全漏洞库(CNNVD)数据显示,漏洞收录数量在逐年增长, 超危漏洞占比呈上升趋势,高危和超危漏洞占比超过了50%。根据近10年已知漏洞情况分析,95% 以上被利用漏洞是 2023 年以前漏洞,未修补的漏洞仍在被黑客持续利用。2024年,漏洞攻势必将愈发凶猛,各企事业单位对于已发现和存在的漏洞都有必要及时处置,避免造成更严重损失。

国家信息安全漏洞共享平台(CNVD)数据显示,在过去五年中,Web 应用漏洞的比例在持续上升,应用程序漏洞的比例则逐步下降,网络设备漏洞的比例略有增加,操作系统漏洞的比例则略有减少。2023 年 已 知 被 利 用 漏 洞(KEV)目 录 和 谷 歌 跟 踪 0day 漏 洞 利 用 名 单显示,被 利 用 漏 洞 数 量 最 多 的 产 品 是Windows。

2023年,我国由安全漏洞引发的威胁趋向于破坏性攻击。信息泄露和管理员访问权限获取成为最主要的两大威胁。未授权的信息泄露,可能严重侵犯个人隐私,引发财务损失,损害商业信誉,甚至触发法律诉讼。攻击者一旦通过漏洞获取管理员权限,便能够完全掌控系统,访问敏感数据,修改系统配置,进行任意操作。

0day 漏洞成为攻防对抗中的“隐形陷阱”

2023年,0day漏洞利用数量显著增加。谷歌团队分析,在过去十年中,尤其是最近三年,0day 漏洞的在野利用事件明显增长,因为黑客利用 0day 漏洞进行攻击时能够有效规避现有的安全防护措施,从而大幅提升攻击的成功率。网络安全面临的挑战威胁日益严峻,建立并提升自身的0day漏洞攻击猎捕能力对各企事业单位的安全来说至关重要。

2023年,深瞳漏洞实验室猎捕到100+个Web场景下的在野利用0day漏洞,其中一半以上出现在攻防演练场景中。可见高可利用 0day 漏洞依然是攻防场景下的主力军,其中弱口令、信息泄露漏洞是横向移动主要的漏洞, 其次是SQL 注入漏洞、API 访问控制漏洞。随着攻防对抗常态化,将会有越来越多的 0day 漏洞被利用于网络攻击,必须提升针对0day的猎捕和快速处置能力,以有效抵抗未知的威胁。

开源软件成为漏洞攻击的“新宠”

数据显示,2023 年较为热门的漏洞多数为开源软件,例如 Apache ActiveMQ 远程代码执行漏洞、Apache RocketMQ 远程代码执行漏洞、Apache OFBiz 远程代码执行漏洞等,这些在行业内都属于影响较大,危害较高的案例。

Synopsys 在 2023 年的报告中分析了 1703 个代码库,其中 96% 包含开源代码,76% 项目全部开源。其中,84% 的代码库至少包含一个已知的开源漏洞,48% 的代码库包含高危漏洞。

由于开源组件是开放的,没有任何形式的保证,使用开源软件会给下游用户带来较高的安全风险。在使用开源软件时,有必要仔细评估其安全风险,并采取安全措施。

智防千里,“政策+技术”双重防线抵御威胁

国家制定了各项法律法规,为数字化建设打下坚实的安全基础。为确保国家网络安全和网络产品及关键系统的稳定运行,《网络安全法》、《网络产品安全漏洞管理规定》等法律法规先后出台。相关的信创漏洞国家标准也在制定中,旨在推动漏洞管理工作的制度化、规范化和法治化,提升各责任主体的管理水平。

深信服基于自身持续积累的流量类样本,IP、URL、漏洞等情报数据,安全人员研判知识,进行大模型预训练和微调,构建了安全 GPT 检测大模型。安全 GPT 检测大模型能够发现混淆、编码类高绕过流量,并针对 Web 漏洞有良好检出效果,具有较强Web 0day 漏洞检测能力,同时针对攻击成功研判具有较高准确率。

安全 GPT 检测大模型具备了 HTTP 流量理解能力、代码理解能力、攻防对抗理解能力和安全常识理解能力,类似一个懂攻防、识代码的“虚拟专家”,致力于针对 0day 等高对抗攻击,实现全覆盖、零绕过,并重点识别传统检测引擎无法发现的高对抗、混淆类未知威胁。

网络安全是一场长期的攻防对抗战役。作为网络安全领域的从业者,让我们携手共进,为构建一个更加安全、稳定的网络环境而努力!

关注【深信服科技】公众号或前往官网,可免费获取报告全文。

免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。

标签:

猜你喜欢

通达智能全文检索:引领信息高效检索与分析新时代
云鼎科技借力盘古大模型,用AI技术赋能矿业转型升级
神凝DDR5马甲内存条——国风马甲高频疾速
中国商业航天新突破!“星环号﹒南信大星”卫星成功发射
抖音生活服务升级内容评估标准 激励创作者生产高质量内容
瓜分100万!中科可控秒杀限时开启3折入新机!
数字融合创新,聚合共赢未来!2024云上鲲鹏合作伙伴大会圆满举行!
达利集团数字化转型启用高士数字科技服务 大幅提升效率与产能
游泳世界冠军朱倩蔚携手中宏品牌,引领健康产业新发展!
网易严选517爱吃节开启:《蛋仔派对》合作款零食惊喜上线
“时光珠”家用高压氧舱,资深爱美人士的养护黑科技
探访美的洗碗机工厂,揭秘中国智造新标杆
长沙爱尔眼科医院多项研究成果亮相美国视觉及眼科研究协会年会(ARVO,2024,西雅图)
爱普生80逾年奋斗行,绘就人与地球多彩画卷
为车站打造“智慧大脑”,海信轨道交通亮相第八届中国智慧轨道交通大会
成都12个社区加入“520社区慈善开放日”,多方共建社区生活“幸福圈”
数字化赋能家政行业 加快发展家政新质生产力
德国高端卫浴品牌科鲁迪KLUDI参展第28届KBC,引领智奢卫浴新风尚
腾讯云Linux服务器操作系统(TencentOS Server)通过安全可靠测评
凯迪仕重磅推出神盾智能安全系统,重新定义智能锁安全新高度
隆道AI产品震撼发布 引领采购与供应链数智化转型
报名开始了!云南移动第三届“爱家杯”广场舞大赛喊你来参加
「数字风洞」AI安全测评丨OpenAI GPT-4o超7成测试用例不通过,存在明显“道德缺位”
中国移动与国家文物局联合发布全国博物馆观众服务平台
精·倍莱有什么用?CELLERATOR赛乐瑞健康新品,攻克衰老“男”题
心遇App风控治理年度回顾:提升用户安全,共筑网络安全防线
禾赛发布2024 Q1财报:交付量同比增长近7成,获全球量产车型定点
宏碁大客户尊享服务,用专业态度赋能商业价值
正泰新能出席巴基斯坦国际太阳能展,ASTRO N组件广受好评
未来智能王松:聚焦会议垂直场景,打造最实用的AI会议助理