面對如此高比例的高危漏洞,很多企業(yè)估計都慌了。但從2024年實際漏洞利用情況來看�,這些“高危漏洞”真正被利用的情況比想象要低很多��。根據(jù)微步情報局2024年全年捕獲攻擊行為統(tǒng)計��,共涉及利用1600多個不同漏洞�,占2024年整體漏洞4%�。
如果進一步對“高危漏洞”(微步情報局的定義是“被攻擊者利用”及“已經(jīng)公開可用PoC但尚未捕獲攻擊行為但極有可能被攻擊者利用的漏洞”)進行真實風(fēng)險量化統(tǒng)計��,2024年高危漏洞為1009個��,占比只有2.51%,相比2023年(2023年高危漏洞為1046個�,占比3.58%)比例及實際數(shù)量均有所下降。安全團隊如果不能有效識別真實的高危漏洞�����,不僅會信息過載���,而且很可能大部分安全投入都要打水漂��,而真正的“安全炸彈”卻沒有及時發(fā)現(xiàn)�����。
03 漏洞利用“規(guī)模爆炸”�����,新漏洞“即產(chǎn)即銷”
2024年�����,是攻擊者漏洞利用規(guī)模和效率爆發(fā)增長的一年�。微步對1600多個不同漏洞捕獲到的漏洞利用行為超過54億次,相比2023年增長31.7%���,單個漏洞平均被攻擊337.5萬次���。攻擊次數(shù)指數(shù)級增長,背后是攻擊者不再依賴 “手工工具”�����,而是利用漏洞掃描��、載荷生成�����、攻擊分發(fā)的自動化工具鏈�����,實現(xiàn)“漏洞武器化流水線”��,從而大幅降低攻擊成本�����,提升攻擊頻率。
此外����,攻擊者對于新老漏洞的利用,也有了新的變化���。基于微步情報局統(tǒng)計發(fā)現(xiàn)�,2024年新披露漏洞為425個,占2024年整體被利用漏洞26.3%��,相比2023年進一步提升����。由于攻擊者漏洞利用能力增強,以及對新漏洞關(guān)注提升���,越來越多新漏洞從披露到被利用窗口期幾乎消失���。
與此同時,2024年漏洞利用“長尾效應(yīng)”也非常明顯�。在被利用的1600多個漏洞中��,73.7%為歷史漏洞, 且在“攻防演練”這類實戰(zhàn)化場景中應(yīng)用尤為明顯(2024年攻防捕獲的漏洞攻擊行為中���,2022年的老漏洞占比達到了70%!)�����。歷史漏洞成為攻擊者的“彈藥庫”��,也體現(xiàn)了當(dāng)前企業(yè)漏洞管理兩個極有可能被利用的弱點:缺乏對已修復(fù)漏洞的持續(xù)驗證����,同時也忽略老舊系統(tǒng)的漏洞風(fēng)險。
04 0day漏洞利用實戰(zhàn)化時代����,攻擊戰(zhàn)術(shù) “三高升級”
2024年,在微步收錄的數(shù)百個0day漏洞中�����,有52個漏洞在無補丁時就被發(fā)現(xiàn)在野利用行為���。這52個漏洞中�,超過50%的漏洞出現(xiàn)在“攻防演練”場景。0day作為最有效的攻擊工具���,逐漸從“戰(zhàn)略儲備武器” 轉(zhuǎn)變?yōu)椤俺R?guī)戰(zhàn)術(shù)工具”����,且攻擊者更傾向于即時利用��,而非長期囤積���。
與此同時���,2024年攻防場景下����,攻擊者漏洞利用相較于往年也呈現(xiàn)出 “高隱蔽”、“高針對性”���、 “高自動化”的新特點��。攻擊者不像過去那樣直接發(fā)起大規(guī)模���、高噪音攻擊���,而是采用低頻慢速滲透這種更隱蔽的方式。其針對性在于����,除了攻擊前深度情報收集,同時采取集權(quán)設(shè)備優(yōu)先策略�����,更傾向高價值�����、高權(quán)限的核心系統(tǒng)�����,例如AD域控����、數(shù)據(jù)庫、ERP系統(tǒng)��,從而實現(xiàn)攻擊效率最大化。漏洞攻擊自動化���,則是攻擊者開發(fā)全鏈條攻擊工具����,從漏洞掃描到數(shù)據(jù)外傳一鍵完成�����。這三大顯著特征����,也意味著攻擊者從“粗放式攻擊”向“精細化作戰(zhàn)”全面升級。
點擊這里�,可下載微步《2024年漏洞情報年報》
2025年,預(yù)計將是不確定性增加���,實戰(zhàn)需求更凸顯的一年。企業(yè)在進行漏洞情報管理時�,建議將以下三個關(guān)鍵思路納入漏洞管理決策參考:
01 持續(xù)漏洞識別
當(dāng)前漏洞管理需從傳統(tǒng)的“定期掃描+電子表格追蹤”模式升級為持續(xù)化、自動化的實時對抗體系�,其關(guān)鍵點在于:通過自動化的技術(shù),對資產(chǎn)不間斷監(jiān)控�,同時采用 “無掃描/無代理”的輕量級解決方案,實時自動關(guān)聯(lián)資產(chǎn)與新漏洞,第一時間發(fā)出告警����,為安全團隊快速響應(yīng)爭取寶貴時間。
02 漏洞管理核心策略:基于風(fēng)險的優(yōu)先級
漏洞管理的核心是基于風(fēng)險的優(yōu)先級�����,需要優(yōu)先解決最關(guān)鍵威脅�。具體而言,需要對三個關(guān)鍵維度進行評估:首先是資產(chǎn)關(guān)鍵性�����,優(yōu)先處理涉及核心業(yè)務(wù)的數(shù)據(jù)����,或者支撐重要業(yè)務(wù)流程的系統(tǒng);其次是網(wǎng)絡(luò)暴露程度����,優(yōu)先修復(fù)互聯(lián)網(wǎng)暴露資產(chǎn)中的漏洞;最后����,結(jié)合漏洞利用情報���,及時了解最新攻擊趨勢,調(diào)整優(yōu)先級���。
通過量化評估(資產(chǎn)價值x暴露系數(shù)x威脅緊迫性)�����,將海量漏洞收斂為可行動清單����,并建立“識別-評估-處置-驗證”閉環(huán)機制����,實現(xiàn)資源精準鎖定與攻擊窗口期壓縮。
03 重點關(guān)注臨時緩解措施
打補丁是漏洞修復(fù)的重要手段���,但也存在真空期長(平均接近80天)�����、修復(fù)成本高、存在補丁繞過風(fēng)險(約10%的補丁因繞過問題催生新0day漏洞)等明顯局限���。因此�����,漏洞處置需要突破僅僅依賴補丁的思路�����,優(yōu)先部署臨時緩解措施:例如啟用網(wǎng)絡(luò)檢測響應(yīng)(NDR)對相關(guān)漏洞的探測和利用行為告警���,強化防火墻規(guī)則封堵漏洞利用路徑��,細化訪問控制隔離高危資產(chǎn)�,并基于主機監(jiān)控阻斷異常操作�����。這些措施無需停機或等待補丁�����,即可快速壓縮攻擊面�����,避免干擾業(yè)務(wù),實現(xiàn)漏洞風(fēng)險抑制����,為后續(xù)徹底修復(fù)爭取緩沖期。從2024年的漏洞攻擊數(shù)據(jù)�����,可以看到另外一個殘酷的現(xiàn)實:企業(yè)80%的實際風(fēng)險����,其實都是來自20%被活躍利用的“真正高危漏洞”。與其疲于應(yīng)對成千上萬的漏洞告警���,不如聚焦攻擊者真正使用的20%�����。這大概是這次2024年微步漏洞情報精選想要分享給各位師傅的��。
最后�����,漏洞攻防沒有銀彈�,但必有高效法則�,也祝2025年各位師傅都成為攻擊者眼中“最難啃的骨頭”。
