大多数严重网络攻击都源于不到 1% 的漏洞

网络安全软件提供商 Qualys 发布了一份“2023 年威胁态势回顾”的研究报告。详细介绍了漏洞威胁态势、主要漏洞类型和其他相关数据的关键见解,包括平均利用时间、MITRE ATT&CK 策略和技术,以及 2023 年最活跃的勒索软件和威胁行为者。

截至报告成文时,2023 年共披露了 26,447 个漏洞,比 2022 年披露的漏洞总数多了 1,500 多个,是有史以来披露的最高数量。但并非所有漏洞都具有高风险,事实上,只有不到 1% 的漏洞会导致最高风险,并且经常被广泛利用。

超过三分之一的已识别高风险漏洞可以被远程利用。五种最常见的漏洞类型占已发现漏洞总数的 70% 以上。

2023 年高危漏洞的平均利用时间约为 44 天。但报告指出,在许多情况下,漏洞在发布当天就可以被利用。“这一立即行动代表了攻击者作案方式的转变,凸显了攻击者效率的不断提高和防御者响应窗口的不断缩小。”

25% 的高风险 CVE 在发布当天就已被利用,75% 的漏洞在发布后 19 天(大约三周)内被利用。

全年被利用的主要漏洞包括针对 PaperCut NG、MOVEit Transfer、各种 Windows 操作系统、Google Chrome、Atlassian Confluence 和 Apache ActiveMQ 的漏洞。许多漏洞可以远程利用,无需物理访问目标系统。

在已发现的 206 个漏洞中,有 32.5%的漏洞位于网络基础设施或 Web 应用程序领域,而这些领域传统上很难通过常规手段进行防护。

远程服务利用(T1210 和 T0866)、面向公众的应用程序的利用(T1190 和 T0819)和特权升级利用 (T1068)​​​​​​​是 MITRE ATT&CK 的三大策略。其中最常用的远程服务利用,在企业中出现了 72 次,在工业控制系统中出现了 24 次。面向公众的应用程序的利用在企业中出现了 53 次,在工业控制系统中出现了 19 次;特权升级利用排在第三位,记录了 20 次。

为了降低风险,报告建议企业应采用多层次方法,利用各种传感器清查面向公众的应用程序和远程服务的漏洞。并建议根据列入 CISA KEV 列表、高利用概率分数和武器化利用代码的可用性等因素,确定修复工作的优先顺序。

更多详情可查看完整报告。