全年披露40000+漏洞，360發(fā)布2024《漏洞分析報(bào)告》解碼漏洞風(fēng)險(xiǎn)

摘要： 360《2024年度網(wǎng)絡(luò)安全漏洞分析報(bào)告》：OA系統(tǒng)漏洞仍是攻防對(duì)抗殺器

隨著信息技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)攻擊的手段和技術(shù)層面越來越復(fù)雜，挑戰(zhàn)企業(yè)和個(gè)人的安全防線的同時(shí)，也對(duì)社會(huì)的安全管理和意識(shí)提出了更高的要求。漏洞是網(wǎng)絡(luò)防御的基礎(chǔ)，深入了解漏洞本質(zhì)、追蹤其演變態(tài)勢并采取相應(yīng)防御措施，成為保障網(wǎng)絡(luò)安全的關(guān)鍵所在。
 
近日，360數(shù)字安全集團(tuán)重磅發(fā)布《2024年度網(wǎng)絡(luò)安全漏洞分析報(bào)告》（以下簡稱《報(bào)告》），綜合分析2024年內(nèi)爆發(fā)的漏洞整體態(tài)勢，解析不同行業(yè)漏洞分布差異成因，剖析多起典型案例技術(shù)細(xì)節(jié)，并拓展了一系列影響深遠(yuǎn)的全球網(wǎng)絡(luò)安全事件，以期為企業(yè)、機(jī)構(gòu)及專業(yè)人士提供有價(jià)值的洞察，更好地構(gòu)建安全防線。
 

年度漏洞數(shù)量激增，安全態(tài)勢日益嚴(yán)峻

《報(bào)告》顯示，2024年全球漏洞總數(shù)達(dá)到44,957個(gè)，相較于2023年增長超過50%，創(chuàng)下歷史新高。其中，高危和嚴(yán)重漏洞的占比超過50%。這一趨勢反映了軟件開發(fā)和使用的復(fù)雜性在不斷增加，漏洞的發(fā)現(xiàn)和披露周期也在縮短，全球企業(yè)在漏洞披露、修復(fù)的過程中，面臨著更大的壓力和挑戰(zhàn)。
 

 
2024年，360漏洞情報(bào)團(tuán)隊(duì)基于安全大模型，結(jié)合使用廣度、行業(yè)關(guān)注度、客戶關(guān)注度、漏洞攻擊復(fù)雜度和補(bǔ)丁發(fā)布情況等多維度指標(biāo)對(duì)全年披露的漏洞進(jìn)行綜合研判分析，發(fā)布了超800條需要用戶重點(diǎn)關(guān)注的漏洞情報(bào)，其中600條易被利用，300余條為需要盡快修復(fù)的高危漏洞，有效幫助企業(yè)、機(jī)構(gòu)和相關(guān)從業(yè)者進(jìn)行針對(duì)性安全防護(hù)。
 

實(shí)戰(zhàn)暴露常見技術(shù)缺陷，OA系統(tǒng)漏洞仍是攻防演練殺器

《報(bào)告》指出，跨站點(diǎn)腳本攻擊（XSS）和SQL注入仍然是最常見的漏洞類型，分別占據(jù)了漏洞數(shù)量的前兩位。盡管近年來安全措施不斷加強(qiáng)，但這些經(jīng)典漏洞仍然頻繁出現(xiàn)在網(wǎng)絡(luò)安全事件中，表明很多系統(tǒng)在基本的安全設(shè)計(jì)和開發(fā)實(shí)踐中依然存在隱患。
 
2024年攻防演練期間，360累計(jì)捕獲80,702條攻擊樣本，通過360漏洞云情報(bào)訂閱服務(wù)平臺(tái)發(fā)布漏洞預(yù)警180余條，其中超98%為高危及嚴(yán)重級(jí)別漏洞，幫助廣大企業(yè)精準(zhǔn)定位關(guān)鍵風(fēng)險(xiǎn)并前置修復(fù)，結(jié)合主動(dòng)防御策略，有效降低80%以上的攻擊威脅。數(shù)據(jù)顯示，辦公自動(dòng)化系統(tǒng)（OA）成為攻擊重災(zāi)區(qū)，ERP等核心業(yè)務(wù)系統(tǒng)緊隨其后。由此可見，攻擊者往往更傾向于針對(duì)企業(yè)日常運(yùn)營中涉及廣泛、數(shù)據(jù)密集的業(yè)務(wù)系統(tǒng)發(fā)起攻擊。
 

漏洞行業(yè)化差異明顯，360獨(dú)家分類標(biāo)準(zhǔn)精細(xì)化情報(bào)顆粒度

《報(bào)告》對(duì)不同領(lǐng)域的漏洞分布情況進(jìn)行了詳細(xì)分析，顯示出行業(yè)間存在明顯的安全差異。從整體分布來看，通用行業(yè)漏洞占比接近90%，教育、金融和醫(yī)療等關(guān)鍵行業(yè)緊隨其后，暴露出大量安全隱患。
 

 
360漏洞情報(bào)團(tuán)隊(duì)沉淀多年攻防演練實(shí)戰(zhàn)經(jīng)驗(yàn)，根據(jù)不同的攻防場景和漏洞利用特征，制定了針對(duì)攻防場景下的獨(dú)家行業(yè)分類標(biāo)準(zhǔn)，對(duì)所有漏洞數(shù)據(jù)進(jìn)行了行業(yè)標(biāo)注，實(shí)現(xiàn)對(duì)全量漏洞數(shù)據(jù)的標(biāo)準(zhǔn)化分析，進(jìn)而幫助企業(yè)深入了解各行業(yè)的漏洞分布特點(diǎn)，實(shí)現(xiàn)全量漏洞數(shù)據(jù)的高效管理與精準(zhǔn)識(shí)別。
 

供應(yīng)鏈安全隱患顯現(xiàn)，AI與新興技術(shù)治理成重點(diǎn)

《報(bào)告》顯示，2024年內(nèi)軟件供應(yīng)鏈相關(guān)漏洞頻現(xiàn)，如Red Hat與CISA發(fā)現(xiàn)的供應(yīng)鏈漏洞、CocoaPods依賴管理器的多個(gè)安全缺陷等；此外，黎巴嫩大量BP機(jī)和尋呼機(jī)被遠(yuǎn)程引爆，造成數(shù)千人受傷，背后直指供應(yīng)鏈攻擊，供應(yīng)鏈安全風(fēng)險(xiǎn)管理成為重要挑戰(zhàn)。加強(qiáng)對(duì)供應(yīng)鏈的全面審計(jì)和監(jiān)控是防范此類攻擊的必要手段。
 
同時(shí)，人工智能技術(shù)發(fā)展迅速，也帶來諸多風(fēng)險(xiǎn)挑戰(zhàn)，2024年，360曝光了近40個(gè)大模型相關(guān)安全漏洞，影響范圍覆蓋llama.cpp、Dify等知名模型服務(wù)框架，以及Intel等國際廠商開發(fā)的多款開源產(chǎn)品，敲響人工智能安全警鐘。此外，人工智能相關(guān)法律法規(guī)持續(xù)出臺(tái)，聯(lián)合國通過人工智能全球決議、歐盟的《人工智能法案》以及中國《人工智能生成合成內(nèi)容標(biāo)識(shí)辦法（征求意見稿）》的發(fā)布，體現(xiàn)了全球各國對(duì)AI技術(shù)潛在風(fēng)險(xiǎn)的高度關(guān)注。不難看出，AI與新興技術(shù)的治理將成為各界關(guān)注的焦點(diǎn)。
 
面對(duì)復(fù)雜且不斷變化的漏洞威脅，360作為國內(nèi)唯一兼具數(shù)字安全和人工智能能力的公司，充分利用安全大模型對(duì)漏洞治理關(guān)鍵能力進(jìn)行智能化升級(jí)，形成了覆蓋漏洞治理生命周期各階段的安全技術(shù)及服務(wù)能力和可面向不同行業(yè)及業(yè)務(wù)方向的漏洞服務(wù)平臺(tái)，提供優(yōu)質(zhì)的漏洞情報(bào)訂閱服務(wù)、可控的安全眾測/眾包服務(wù)、及時(shí)的漏洞應(yīng)急響應(yīng)服務(wù)、高效的漏洞補(bǔ)丁推送服務(wù)，以及專業(yè)的漏洞安全專家服務(wù)。
 
未來，360將依托自身在漏洞安全領(lǐng)域的技術(shù)積累，助力提高網(wǎng)絡(luò)產(chǎn)品安全漏洞的研究水平和預(yù)警能力，推動(dòng)數(shù)字安全生態(tài)的健康發(fā)展，為構(gòu)建更加安全、可靠的網(wǎng)絡(luò)環(huán)境貢獻(xiàn)力量！