2025-02-10 18:04 北京
360发布《2024年度网络安全漏洞分析报告》
News Today
随着信息技术的广泛应用,网络攻击的手段和技术层面越来越复杂,挑战企业和个人的安全防线的同时,也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础,深入了解漏洞本质、追踪其演变态势并采取相应防御措施,成为保障网络安全的关键所在。
近日,360数字安全集团重磅发布《2024年度网络安全漏洞分析报告》(以下简称《报告》),综合分析2024年内爆发的漏洞整体态势,解析不同行业漏洞分布差异成因,剖析多起典型案例技术细节,并拓展了一系列影响深远的全球网络安全事件,以期为企业、机构及专业人士提供有价值的洞察,更好地构建安全防线。
✦
✦
年度漏洞数量激增
安全态势日益严峻
✦
《报告》显示,2024年全球漏洞总数达到44,957个,相较于2023年增长超过50%,创下历史新高。这一趋势反映了软件开发和使用的复杂性在不断增加,漏洞的发现和披露周期也在缩短,全球企业在漏洞披露、修复的过程中,面临着更大的压力和挑战。2024年,高危和严重漏洞的占比超过50%,这些漏洞对系统的安全性构成了直接威胁,因此企业必须优先采取措施,确保系统的安全性得到及时保障。
2024年,360漏洞情报团队基于安全大模型,结合使用广度、行业关注度、客户关注度、漏洞攻击复杂度和补丁发布情况等多维度指标对全年披露的漏洞进行综合研判分析,发布了超800条需要用户重点关注的漏洞情报,其中600条易被利用,300余条为需要尽快修复的高危漏洞,有效帮助企业、机构和相关从业者进行针对性安全防护。
✦
✦
实战暴露常见技术缺陷
经典漏洞持续构成隐患
✦
《报告》指出,跨站点脚本攻击(XSS)和SQL注入仍然是最常见的漏洞类型,分别占据了漏洞数量的前两位。尽管近年来安全措施不断加强,但这些经典漏洞仍然频繁出现在网络安全事件中,表明很多系统在基本的安全设计和开发实践中依然存在隐患。
XSS攻击通过注入恶意脚本代码,导致用户信息泄露、账户被篡改等严重后果;
而SQL注入则通过对数据库查询语句进行恶意修改,进而获取敏感数据或控制整个系统。
针对这些高频漏洞类型,企业必须加强对开发者的安全培训,确保在软件开发的各个阶段遵循安全编程最佳实践。特别是加强输入验证、输出编码、以及存储过程的使用,以有效防止SQL注入和XSS漏洞的产生。
《报告》还提到,权限管理不当和访问控制不当也是漏洞高发的常见原因。这类漏洞表明许多企业在开发过程中忽视了安全设计的基础工作,未能对用户权限进行合理的限制和控制。为避免此类漏洞,企业应严格遵守最小权限原则,对系统的用户权限进行精细化管理,并通过定期的权限审计和访问控制措施,确保每个用户只拥有其业务所需的权限。
✦
✦
OA系统漏洞仍是攻防演练杀器
精准预警才能力挽狂澜
✦
2024年攻防演练期间,360累计捕获80,702条攻击样本,通过360漏洞云情报订阅服务平台发布漏洞预警180余条,其中超98%为高危及严重级别漏洞,帮助广大企业精准定位关键风险并前置修复,结合主动防御策略,有效降低80%以上的攻击威胁。
数据显示,办公自动化系统(OA)成为攻击重灾区,ERP等核心业务系统紧随其后。由此可见,攻击者往往更倾向于针对企业日常运营中涉及广泛、数据密集的业务系统发起攻击。
360漏洞情报服务从海量攻击样本中实现精准漏洞预警,通过对漏洞数据进行多维度剖析,不仅能识别漏洞的潜在利用方式,还能够深入洞察攻击者的攻击链和行为模式,预测并识别出潜在的高危漏洞,及时发布针对性的预警,为企业提供最具针对性和实效性的修复建议,确保了企业在面临复杂攻击时能够做出快速反应,有效防止攻击威胁蔓延,大大降低了安全风险。
✦
✦
漏洞行业化差异明显
360独家分类标准精细化情报颗粒度
✦
《报告》对不同领域的漏洞分布情况进行了详细分析,显示出行业间存在明显的安全差异。从整体分布来看,通用行业漏洞占比接近90%,这表明跨行业的通用软件和平台是企业安全防护的主要薄弱点。
而教育、金融和医疗等关键行业,也暴露出大量安全隐患:教育行业报告的漏洞数量位居第二,达到869个,这凸显了数字化教学环境中的安全问题;批发和零售业则报告了696个漏洞,强调了在线交易平台需要更加稳固的安全保障;此外,金融业与医疗行业分别报告了585和333个漏洞,进一步显示出保护金融数据和患者信息的紧迫性。
360漏洞情报团队沉淀多年攻防演练实战经验,根据不同的攻防场景和漏洞利用特征,制定了针对攻防场景下的独家行业分类标准,对所有漏洞数据进行了行业标注,实现对全量漏洞数据的标准化分析,进而帮助企业深入了解各行业的漏洞分布特点,实现全量漏洞数据的高效管理与精准识别。
对于企业而言,借助360漏洞情报平台,可以聚焦本行业及通用行业的漏洞信息,快速筛选出关键风险点,从而显著提升漏洞情报的响应效率和处置精准度。通过这一系统化、智能化的漏洞情报服务,360在为企业提供个性化安全防护方案的同时,也帮助企业在复杂的网络安全环境中建立起更加可靠的防线。
✦
✦
供应链安全隐患显现
AI与新兴技术治理成重点
✦
《报告》显示,2024年内软件供应链相关漏洞频现,如Red Hat与CISA发现的供应链漏洞、CocoaPods依赖管理器的多个安全缺陷等;此外,黎巴嫩大量BP机和寻呼机被远程引爆,造成数千人受伤,背后直指供应链攻击,供应链安全风险管理成为重要挑战。加强对供应链的全面审计和监控是防范此类攻击的必要手段。
同时,人工智能技术发展迅速,也带来诸多风险挑战,2024年,360曝光了近40个大模型相关安全漏洞,影响范围覆盖llama.cpp、Dify等知名模型服务框架,以及Intel等国际厂商开发的多款开源产品,敲响人工智能安全警钟。
此外,人工智能相关法律法规持续出台,联合国通过人工智能全球决议、欧盟的《人工智能法案》以及中国《人工智能生成合成内容标识办法(征求意见稿)》的发布,体现了全球各国对AI技术潜在风险的高度关注。不难看出,AI与新兴技术的治理将成为各界关注的焦点。
面对复杂且不断变化的漏洞威胁,360作为国内唯一兼具数字安全和人工智能能力的公司,充分利用安全大模型对漏洞治理关键能力进行智能化升级,形成了覆盖漏洞治理生命周期各阶段的安全技术及服务能力,可面向不同行业及业务方向的漏洞服务平台,提供优质的漏洞情报订阅服务、可控的安全众测/众包服务、及时的漏洞应急响应服务、高效的漏洞补丁推送服务,以及专业的漏洞安全专家服务。
如需查看完整报告请点击【阅读原文】
如需咨询相关服务请联系
400-0309-360
往期推荐
| |||
| |||
| |||
|
