新华三安全攻防实验室持续关注国内外网络安全漏洞和态势,协同高级威胁分析、漏洞分析、威胁情报分析等领域专家一同发布《2022年网络安全漏洞态势报告》。报告开篇概述了2022年漏洞和攻击的总体趋势,正文从Web应用、操作系统、网络设备、数据库、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析2022年网络安全领域新增漏洞情况以及演变趋势,希望为各行业网络安全建设者提供参考和帮助。
2022年新华三安全攻防实验室漏洞知识库收录的漏洞总数为24892条,比2021年增长232%,增幅较大。其中超危漏洞4086条,高危漏洞9958条,如图1所示,超危与高危漏洞占比564%,如图2所示,高危以上漏洞比2021年增长143%。安全漏洞数量仍在快速增长,严重和高危性漏洞的数量占比进一步提升。2017年至2022年漏洞总体呈逐年增长趋势,其中高危以上漏洞逐年增长比例超过10%。
将2022年漏洞按照影响对象进行统计,Web应用类漏洞占比最高,达到416%,其次是应用软件、网络设备漏洞,分别占比22.3%、10.5%,如图3所示。网络设备漏洞已经超过传统的操作系统漏洞数量,
成为排名第三的漏洞类别,其对网络空间安全的影响也越来越突出。智能终端(IOT设备)漏洞占比相比去年也有所提高,移动设备、物联网漏洞也引起黑客持续的关注。
将2022年漏洞按照攻击分类进行统计,如图4所示,排名前三的漏洞为缓冲区溢出、跨站脚本、SQL
注入,分别占比14.6%,13.3%和8.0%。输入验证错误与权限许可与访问控制问题也较突出,输入验证错误是由于产品不验证或错误的验证输入控制流或数据流,导致系统的某些部分接收到意外输入,可能会导致控制流改变、资源的任意控制或任意代码执行。权限许可和访问控制问题是由于权限限制不正确,或者访问控制设置错误,导致远程攻击者可以绕过身份验证因素或者访问控制设置,达到获取敏感信息,读写任意文件或者权限提升的目的。
本文来自知之小站
PDF报告已分享至知识星球,微信扫码加入立享3万+精选资料,年更新1万+精选报告
(星球内含更多专属精选报告.其它事宜可联系zzxz_88@163.com)