本篇为《报告》解读系列的第一篇,将从探究2022年漏洞威胁的现状及发展趋势,为广大企事业客户、安全运维人员等应对漏洞威胁提供指导。
2022年新增漏洞26431个,同比2021年增加25.87%
根据NVD数据库已收录的公开发布漏洞数目进行观察,截至2022年底,2022年新增加的漏洞数量为26431个,相比2021年增加了25.87%。
根据告警监测数据,盘点了与漏洞利用相关的攻击事件,并筛选出了告警数量最高的10个漏洞,如表1.1所示。
表 1.1 2022年漏洞利用告警数量TOP10
从表中数据可以发现,具有10年以上的高龄漏洞仍然活跃,告警次数高达三十多万。这说明企业内部依然存在大量长期未更新的软件和系统,如在隔离网络中的操作系统、应用软件、数据库等。由于漏洞披露时间较长,对应的漏洞利用也更为成熟,攻击者一旦进入内网就可以利用这类漏洞发起有效攻击。
Web服务器依旧是漏洞重灾区
绿盟科技威胁情报中心根据监测数据统计了各类服务器在漏洞利用中的占比,如图1.2所示。其中,Web服务器受到的攻击最多,占比达70.81%。
图1.2 服务器漏洞利用统计
漏洞挖掘者瞄准Chrome浏览器
如图1.3所示,2022年度Google Chrome浏览器漏洞披露最多,共计303个,其累计漏洞总数达到3159个,例如CVE-2022-3318、CVE-2022-3314、CVE-2022-3311、CVE-2022-3309和CVE-2022-3307,这些漏洞均可导致内存损坏。Mozilla Firefox浏览器漏洞居第二,共出现117个漏洞;其次是Microsoft Edge,共有漏洞103个,相比2021年全年新增了61%。综上所述,Chrome浏览器成为了漏洞挖掘者主要目标之一。
图1.3 2022年浏览器漏洞数
开源框架组件面临重重危机
开源软件中的安全漏洞为攻击者提供了新的攻击思路,拓展了攻击面,并降低了攻击难度。攻击者通过开源软件漏洞可引发软件供应链全过程的“链式反应”,直接或间接关联的系统均会受到影响,甚至可能会出现“网状蔓延”态势,攻击影响可成倍甚至呈爆炸式增长。
表 1.2 2022年涉及开源框架组件重点漏洞
OA系统漏洞管理机制亟待加强
OA系统融合了企业运作及生产经营,更甚至承载企业大量敏感信息,使得OA系统逐渐成为攻击者重点关注对象。2022年披露的OA系统漏洞数量较2021年呈明显上升趋势,国内多款OA系统被爆出高危漏洞,主要涉及远程代码执行、文件上传及反序列化漏洞等。
目前国内很多OA系统厂商还没有健全的漏洞管理机制,缺乏正式的漏洞收录渠道与征集奖励计划,当开发的产品被爆出安全漏洞时,往往无法及时进行修复并对外发布安全风险通告,导致相关用户很难有效检测和防护。
同时,OA系统的使用方也因为在需求设计和开发测试阶段未引入安全开发生命周期(SDL),导致企业漏洞预防、检测和修补的成本日渐增加。
AD和Exchange漏洞倍受攻击者青睐
2022年1月,微软Exchange惊现2022“新年虫”,官方发布了紧急修复程序,该漏洞会破坏本地Exchange服务器上的电子邮件传递。2022年2月,勒索软件Cub利用Exchange漏洞进入企业网络并对设备进行加密。而在2022年5月更新中,微软修复了AD的一个重要漏洞,即Active Directory域服务权限提升漏洞 (CVE-2022-26923),攻击者可利用该漏洞在内网进行横向移动。
远程办公类软件漏洞关注度剧增
受疫情影响,人们对远程办公、会议类软件需求剧增,大量攻击者将此类软件作为攻击跳板,通过软件漏洞,攻击者可绕过企业相关防护体系,直接进入企业内部网络。针对2022年重点漏洞如表1.3。
表1.3 2022年远程办公及会议软件重点漏洞
边界设备成为网络攻防“双刃剑”
近几年,随着各行业对安全的日益重视,企业逐步增加了网边界安全设备的规划与部署,以进一步提高安全防护能力。尽管安全设备可以抵御内外部威胁,但其自身也是由代码开发而成,不可避免的会产生漏洞,若边界设备被攻击者控制,可能为攻击者打开通向内网的大门,实现更深层次的渗透攻击。
好文章,需要你的鼓励
CIO们正面临众多复杂挑战,其多样性值得关注。除了企业安全和成本控制等传统问题,人工智能快速发展和地缘政治环境正在颠覆常规业务模式。主要挑战包括:AI技术快速演进、IT部门AI应用、AI网络攻击威胁、AIOps智能运维、快速实现价值、地缘政治影响、成本控制、人才短缺、安全风险管理以及未来准备等十个方面。
北航团队发布AnimaX技术,能够根据文字描述让静态3D模型自动生成动画。该系统支持人形角色、动物、家具等各类模型,仅需6分钟即可完成高质量动画生成,效率远超传统方法。通过多视角视频-姿态联合扩散模型,AnimaX有效结合了视频AI的运动理解能力与骨骼动画的精确控制,在16万动画序列数据集上训练后展现出卓越性能。
过去两年间,许多组织启动了大量AI概念验证项目,但失败率高且投资回报率令人失望。如今出现新趋势,组织开始重新评估AI实验的撒网策略。IT观察者发现,许多组织正在减少AI概念验证项目数量,IT领导转向商业AI工具,专注于有限的战略性目标用例。专家表示,组织正从大规模实验转向更专注、结果导向的AI部署,优先考虑能深度融入运营工作流程并产生可衡量结果的少数用例。
这项研究解决了AI图片描述中的两大难题:描述不平衡和内容虚构。通过创新的"侦探式追问"方法,让AI能生成更详细准确的图片描述,显著提升了多个AI系统的性能表现,为无障碍技术、教育、电商等领域带来实用价值。