www.久久久久|狼友网站av天堂|精品国产无码a片|一级av色欲av|91在线播放视频|亚洲无码主播在线|国产精品草久在线|明星AV网站在线|污污内射久久一区|婷婷综合视频网站

當(dāng)前位置:首頁(yè) > 中國(guó)芯 > 新華三
[導(dǎo)讀]新華三攻防實(shí)驗(yàn)室持續(xù)關(guān)注國(guó)內(nèi)外網(wǎng)絡(luò)的安全漏洞和態(tài)勢(shì),協(xié)同高級(jí)威脅分析、漏洞分析、威脅情報(bào)分析等領(lǐng)域?qū)<乙煌l(fā)布《2021年網(wǎng)絡(luò)的安全漏洞態(tài)勢(shì)報(bào)告》。報(bào)告開(kāi)篇概述了2021年漏洞和攻擊的總體趨勢(shì),正文從Web應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、工控系統(tǒng)、云計(jì)算平臺(tái)多個(gè)角度分析了漏洞分布和攻擊態(tài)勢(shì)。本報(bào)告試圖以觀察者的視角剖析2021年網(wǎng)絡(luò)的安全領(lǐng)域新增漏洞情況以及演變趨勢(shì),希望為各行業(yè)及相關(guān)企事業(yè)單位的網(wǎng)絡(luò)的安全建設(shè)提供參考和幫助。

新華三攻防實(shí)驗(yàn)室持續(xù)關(guān)注國(guó)內(nèi)外網(wǎng)絡(luò)的安全漏洞和態(tài)勢(shì),協(xié)同高級(jí)威脅分析、漏洞分析、威脅情報(bào)分析等領(lǐng)域?qū)<乙煌l(fā)布《2021年網(wǎng)絡(luò)的安全漏洞態(tài)勢(shì)報(bào)告》。報(bào)告開(kāi)篇概述了2021年漏洞和攻擊的總體趨勢(shì),正文從Web應(yīng)用、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、工控系統(tǒng)、云計(jì)算平臺(tái)多個(gè)角度分析了漏洞分布和攻擊態(tài)勢(shì)。本報(bào)告試圖以觀察者的視角剖析2021年網(wǎng)絡(luò)的安全領(lǐng)域新增漏洞情況以及演變趨勢(shì),希望為各行業(yè)及相關(guān)企事業(yè)單位的網(wǎng)絡(luò)的安全建設(shè)提供參考和幫助。

漏洞增長(zhǎng)趨勢(shì)

2021年新華三收錄的漏洞總數(shù)為20203條,其中超危漏洞2591條,高危漏洞8451條。

其中,超危與高危漏洞占比50%以上,高危以上漏洞比2020年增長(zhǎng)14.3%。2016年至2021年漏洞總體呈逐年增長(zhǎng)趨勢(shì),其中高危以上漏洞逐年增長(zhǎng)比例超過(guò)10%。

攻擊總體態(tài)勢(shì)

新華三攻防實(shí)驗(yàn)室在2021年根據(jù)跟蹤的熱門(mén)及嚴(yán)重漏洞,新增2021年漏洞的防御規(guī)則710多條,其中超危漏洞占比17.1%,高危漏洞占比53.2%,兩者占比高達(dá)70.3%,含有CVE的漏洞為428條,占比60%,非CVE漏洞占比增加。

按照攻擊對(duì)象統(tǒng)計(jì):

將新增漏洞規(guī)則按照攻擊對(duì)象進(jìn)行統(tǒng)計(jì),Web應(yīng)用類(lèi)漏洞占比較高,達(dá)到48.1%,Web應(yīng)用類(lèi)包括OA系統(tǒng)、CMS系統(tǒng),2021年其漏洞仍然呈高發(fā)態(tài)勢(shì);網(wǎng)絡(luò)設(shè)備類(lèi)漏洞占比高達(dá)12.2%,近兩年利用網(wǎng)絡(luò)設(shè)備、安全設(shè)備漏洞進(jìn)行內(nèi)網(wǎng)攻擊的事件屢見(jiàn)不鮮,網(wǎng)絡(luò)設(shè)備自身安全不容忽視。

按照攻擊分類(lèi)進(jìn)行統(tǒng)計(jì):

將新增漏洞規(guī)則按照攻擊分類(lèi)進(jìn)行統(tǒng)計(jì),遠(yuǎn)程代碼執(zhí)行類(lèi)占比較高,達(dá)到32.7%,命令注入、SQL注入占比也較高,分別為10.8%和8.0%。遠(yuǎn)程代碼執(zhí)行、命令注入為高風(fēng)險(xiǎn)漏洞,如果攻擊成功可以直接執(zhí)行攻擊者注入的代碼或命令。

WEB應(yīng)用漏洞

Web應(yīng)用由于其自身的公開(kāi)屬性,涉及的攻擊面廣且遠(yuǎn)程利用方式相對(duì)簡(jiǎn)單,一直都是網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。2021年新華三共收錄Web應(yīng)用漏洞9103條,較2020年(6145條)增長(zhǎng)48.1%,漏洞數(shù)量大幅增長(zhǎng)。對(duì)比2020年和2021年每月Web應(yīng)用漏洞變化趨勢(shì)如圖所示:

Web應(yīng)用由于其自身的公開(kāi)屬性,涉及的攻擊面廣且遠(yuǎn)程利用方式相對(duì)簡(jiǎn)單,一直都是遭受網(wǎng)絡(luò)攻擊的重災(zāi)區(qū),可以看出Web應(yīng)用漏洞主要集中在跨站腳本、注入、失效的身份驗(yàn)證、敏感數(shù)據(jù)泄露四種類(lèi)型,占據(jù)全部漏洞類(lèi)型的73.6%。

漏洞攻擊態(tài)勢(shì)分析:

1、組件漏洞波及范圍廣,從補(bǔ)丁通告到被繞過(guò)、再次修補(bǔ)愈發(fā)頻繁;

2、為了對(duì)抗安全設(shè)備,黑客工具趨向加密。

操作系統(tǒng)漏洞

操作系統(tǒng)作為傳統(tǒng)的攻擊目標(biāo),其漏洞占據(jù)著重要位置。2021新華三收錄的操作系統(tǒng)漏洞總數(shù)為2439條,較2020年總數(shù)(2343條)稍有增長(zhǎng),對(duì)比2020年和2021年每月操作系統(tǒng)漏洞變化趨勢(shì)如圖所示。

緩沖區(qū)溢出是一種非常普遍、非常危險(xiǎn)的漏洞,在各種操作系統(tǒng)中廣泛存在。利用緩沖區(qū)溢出攻擊,可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重新啟動(dòng)等后果。更為嚴(yán)重的是,它可被利用來(lái)執(zhí)行非授權(quán)指令,甚至可以取得系統(tǒng)特權(quán),進(jìn)而進(jìn)行各種非法操作。2021年緩沖區(qū)溢出漏洞占比20.8%,排名靠前,同時(shí)權(quán)限提升、信息泄露、拒絕服務(wù)等安全漏洞問(wèn)題也是操作系統(tǒng)最為突出的問(wèn)題。

漏洞攻擊態(tài)勢(shì)分析:

1、系統(tǒng)漏洞潛伏久,甚至可被蠕蟲(chóng)化利用,影響面擴(kuò)大;

2、移動(dòng)設(shè)備攻擊面急劇擴(kuò)大;

3、Linux成為針對(duì)Windows設(shè)備的潛在新攻擊向量。

網(wǎng)絡(luò)設(shè)備漏洞

路由器、防火墻、交換機(jī)等網(wǎng)絡(luò)設(shè)備是整個(gè)互聯(lián)網(wǎng)世界的聯(lián)系紐帶,占據(jù)著非常重要的地位,一旦控制網(wǎng)絡(luò)設(shè)備,其連接的各種終端設(shè)備都將暴露在攻擊者的面前,導(dǎo)致重要數(shù)據(jù)和資料泄漏,造成嚴(yán)重的網(wǎng)絡(luò)的安全事件。2021年新華三共收錄網(wǎng)絡(luò)設(shè)備類(lèi)漏洞2665條,較2020年同期(1912條)增長(zhǎng)39.4%。

網(wǎng)絡(luò)設(shè)備漏洞類(lèi)型主要集中在弱口令、命令注入、緩沖區(qū)溢出、拒絕服務(wù)、授權(quán)問(wèn)題等類(lèi)型,如圖11所示。大多數(shù)網(wǎng)絡(luò)管理人員主要精力一般都集中于內(nèi)部服務(wù)器、客戶(hù)端、數(shù)據(jù)庫(kù)的異常攻擊行為,而對(duì)網(wǎng)絡(luò)設(shè)備自身的安全性關(guān)注度并不足。而考慮到網(wǎng)絡(luò)設(shè)備的性能,很多低端設(shè)備缺乏安全措施,出現(xiàn)漏洞后,可被直接利用。

漏洞攻擊態(tài)勢(shì)分析:

1、安全意識(shí)不足,弱口令成為網(wǎng)絡(luò)設(shè)備最大的安全隱患;

2、僵尸網(wǎng)絡(luò)攻擊目標(biāo)逐漸轉(zhuǎn)向網(wǎng)絡(luò)設(shè)備,以快速擴(kuò)大傳播范圍。

數(shù)據(jù)庫(kù)漏洞

隨著大數(shù)據(jù)的高速發(fā)展,各行業(yè)的數(shù)據(jù)量急速增長(zhǎng),數(shù)據(jù)庫(kù)系統(tǒng)不可或缺,其存儲(chǔ)了各類(lèi)價(jià)值數(shù)據(jù),已成為企業(yè)和組織重要的無(wú)形資產(chǎn)。與此同時(shí),數(shù)據(jù)庫(kù)也成為攻擊者主要目標(biāo)之一,一旦獲得數(shù)據(jù)庫(kù)權(quán)限,即可獲得豐厚的利益。2021年新華三收錄數(shù)據(jù)庫(kù)漏洞總數(shù)285條,相比2020年(266條)大體持平。

MySQL數(shù)據(jù)庫(kù)由于代碼開(kāi)源、版本眾多,加之使用量大,因此被發(fā)現(xiàn)的漏洞較多。2021年被確認(rèn)的285個(gè)數(shù)據(jù)庫(kù)漏洞中,MySQL漏洞150余個(gè),占據(jù)總漏洞個(gè)數(shù)55.1。

從漏洞類(lèi)型分布上來(lái)看,主要集中在輸入驗(yàn)證錯(cuò)誤、拒絕服務(wù)、訪問(wèn)控制錯(cuò)誤三種類(lèi)型,占據(jù)全部漏洞類(lèi)型的75.7%,

漏洞攻擊態(tài)勢(shì)分析:

1、云、AI、大數(shù)據(jù)背景下導(dǎo)致非關(guān)系型數(shù)據(jù)庫(kù)漏洞利用方式顯現(xiàn);

2、由于輸入驗(yàn)證錯(cuò)誤、訪問(wèn)控制錯(cuò)誤導(dǎo)致的漏洞增多。

工控系統(tǒng)漏洞

隨著越來(lái)越多的工控系統(tǒng)暴露在互聯(lián)網(wǎng)上,工控系統(tǒng)日益成為“眾矢之的”,黑客有目的地探測(cè)并鎖定攻擊目標(biāo)變得更加容易。加上針對(duì)工控系統(tǒng)的漏洞挖掘和發(fā)布與日俱增,大量工控系統(tǒng)安全漏洞、攻擊方法可以通過(guò)互聯(lián)網(wǎng)等多種公開(kāi)或半公開(kāi)渠道擴(kuò)散,極易被黑客等不法分子獲取利用。2021年新華三收錄的工控漏洞總數(shù)為732條,總數(shù)比2020年(645條)增加13.5%。

工控安全漏洞類(lèi)型呈現(xiàn)出多樣化特征,對(duì)于業(yè)務(wù)連續(xù)性、實(shí)時(shí)性要求高的工控系統(tǒng),無(wú)論是利用這些漏洞造成業(yè)務(wù)中斷、獲得控制權(quán)限還是竊取敏感生產(chǎn)數(shù)據(jù),都將對(duì)工控系統(tǒng)造成極大的安全威脅。工業(yè)企業(yè)最擔(dān)心的嚴(yán)重后果是造成生產(chǎn)設(shè)備損壞、業(yè)務(wù)停滯,而拒絕服務(wù)漏洞排名一直靠前,如果被黑客利用,容易給企業(yè)造成較大影響。同時(shí)工控設(shè)備自身操作系統(tǒng)漏洞、應(yīng)用軟件漏洞及工業(yè)協(xié)議的安全性缺陷等問(wèn)題也不容忽視,根據(jù)統(tǒng)計(jì),2021年緩沖區(qū)錯(cuò)誤、代碼執(zhí)行、SQL注入等也是工控系統(tǒng)最為突出的問(wèn)題。

漏洞攻擊態(tài)勢(shì)分析:

1、工控攻擊事件破壞性加劇,勒索為主要攻擊手段;

2、隨著工控領(lǐng)域引入云平臺(tái),其安全風(fēng)險(xiǎn)類(lèi)型更加復(fù)雜。

云計(jì)算平臺(tái)漏洞

云計(jì)算以其強(qiáng)大的彈性和高可拓展性,實(shí)現(xiàn)IT資源的規(guī)模效應(yīng)較大化,云計(jì)算是數(shù)字時(shí)代的基礎(chǔ)設(shè)施和智能引擎,云計(jì)算產(chǎn)業(yè)維持較高水平增長(zhǎng),與云計(jì)算相關(guān)的漏洞也逐年增長(zhǎng)。2021年新增云計(jì)算平臺(tái)漏洞1495條,比2020年(總數(shù)1316條)增長(zhǎng)13.6%。

伴隨產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展,中國(guó)云計(jì)算行業(yè)整體迎來(lái)發(fā)展加速期,市場(chǎng)規(guī)模屢創(chuàng)新高,行業(yè)應(yīng)用不斷落地。伴隨著云計(jì)算逐步成為數(shù)字經(jīng)濟(jì)的技術(shù)底座、企業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵基礎(chǔ)設(shè)施,云計(jì)算所面對(duì)的潛在風(fēng)險(xiǎn)也顯著提升。云計(jì)算能幫助企業(yè)提升業(yè)務(wù)敏捷性并降低成本,但同時(shí)也增加了攻擊面。根據(jù)統(tǒng)計(jì),其漏洞類(lèi)型主要分布在權(quán)限許可和訪問(wèn)控制問(wèn)題、信息泄露、輸入驗(yàn)證錯(cuò)誤等。

漏洞攻擊態(tài)勢(shì)分析:

1、云原生安全逐步成為云基礎(chǔ)安全重點(diǎn);

2、安全基線風(fēng)險(xiǎn)日益凸顯,云上業(yè)務(wù)存在高危風(fēng)險(xiǎn)。

總結(jié)與建議

2021年對(duì)比2020年,網(wǎng)絡(luò)的安全漏洞數(shù)量和網(wǎng)絡(luò)攻擊數(shù)量都有增長(zhǎng),網(wǎng)絡(luò)威脅與攻擊始終在不斷變化,其攻擊目的更直接地盯上客戶(hù)的業(yè)務(wù)相關(guān)的數(shù)據(jù)等,一旦成功,不僅是對(duì)客戶(hù)業(yè)務(wù)本身造成影響,這些泄露的數(shù)據(jù)也會(huì)成為獲利的手段,被拿下的服務(wù)器可能會(huì)成為挖礦或者攻擊其他目標(biāo)的資源,對(duì)企業(yè)造成更長(zhǎng)久的損害。

Web類(lèi)針對(duì)高危漏洞的入侵依然以組件漏洞為主,應(yīng)用組件漏洞比操作系統(tǒng)漏洞具備更容易獲得的執(zhí)行環(huán)境,比業(yè)務(wù)漏洞具有更強(qiáng)的通用性,通常黑產(chǎn)團(tuán)隊(duì)會(huì)選擇用戶(hù)數(shù)量較多、漏洞利用條件簡(jiǎn)單且穩(wěn)定的漏洞來(lái)開(kāi)發(fā)自動(dòng)化工具,以較低的成本實(shí)現(xiàn)對(duì)目標(biāo)的控制、自動(dòng)化挖礦等牟利行為;操作系統(tǒng)類(lèi)漏洞以緩沖區(qū)溢出與權(quán)限提升為主,操作系統(tǒng)類(lèi)漏洞影響面大,利用成功容易爆發(fā)蠕蟲(chóng)病毒傳播事件與勒索事件;網(wǎng)絡(luò)設(shè)備類(lèi)漏洞大幅增加,網(wǎng)絡(luò)設(shè)備由于漏洞被攻擊的事件越發(fā)頻繁,弱口令占比高居不下,用戶(hù)安全意識(shí)仍需提高;工業(yè)互聯(lián)網(wǎng)作為關(guān)鍵技術(shù)設(shè)施,遭遇勒索攻擊贖金動(dòng)輒高達(dá)數(shù)千萬(wàn)美金,使企業(yè)遭受了嚴(yán)重的經(jīng)濟(jì)損失,同時(shí)往往伴隨著大范圍的民生問(wèn)題;在云計(jì)算生態(tài)環(huán)境下,云原生所依賴(lài)的容器、微服務(wù)等技術(shù)在提升業(yè)務(wù)的敏捷性的同時(shí),也引入了新的安全風(fēng)險(xiǎn),比如容器逃逸風(fēng)險(xiǎn)、鏡像安全風(fēng)險(xiǎn)等,同樣可直接損害業(yè)務(wù)運(yùn)行、造成業(yè)務(wù)數(shù)據(jù)失竊。面對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)信息安全威脅,企業(yè)在提供線上服務(wù)時(shí)需要認(rèn)真考慮綜合性安全防護(hù)方案,形成縱深防御,阻止攻擊者觸及核心業(yè)務(wù)應(yīng)用和數(shù)據(jù),造成損失。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專(zhuān)欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車(chē)的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車(chē)技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車(chē)工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車(chē)。 SODA V工具的開(kāi)發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車(chē) 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶(hù)希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開(kāi)幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱(chēng),數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱(chēng)"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉