2024實戰攻防演練即將開啟。

伴隨網絡安全形勢日益復雜，攻擊方的攻擊手段不斷升級，0day漏洞的利用也愈發頻繁，成為防守方必須警惕的“隱形陷阱”。在實戰較量中，防御一旦出現滯后則可能帶來嚴重的安全風險。

2023 年深瞳漏洞實驗室獵捕到100+個 Web 場景下的在野利用 0day 漏洞，其中 50% 以上出現在實戰攻防演練場景中，下表列舉了去年影響較大的0day漏洞。各防守單位也可加強注意，實戰攻防演練期間，一定要對歷史漏洞進行提前檢測并加強防護，做好0day攻擊的主動獵捕和快速處置。

以上內容出自由深信服千里目安全技術中心深瞳漏洞實驗室出品的《2023漏洞威脅分析報告》，報告基于對2023年全球漏洞情況的跟蹤與分析，全面梳理了漏洞威脅的數量、類型、危害的全貌，對2024漏洞威脅的發展趨勢和特點做出研判，并提出應對漏洞威脅的針對性思路和解決方案。

- 報告共 51 頁，點擊文末按鈕可免費獲取 -

一組“數據清單”窺見漏洞威脅演變趨勢

國家信息安全漏洞庫（CNNVD）數據顯示，漏洞收錄數量在逐年增長，超危漏洞占比呈上升趨勢，高危和超危漏洞占比超過了50%。根據近10年已知漏洞情況分析，95% 以上被利用漏洞是 2023 年以前漏洞，未修補的漏洞仍在被黑客持續利用。2024年，漏洞攻勢必將愈發兇猛，各企事業單位對于已發現和存在的漏洞都有必要及時處置，避免造成更嚴重損失。

國家信息安全漏洞共享平臺（CNVD）數據顯示，在過去五年中，Web 應用漏洞的比例在持續上升，應用程序漏洞的比例則逐步下降，網絡設備漏洞的比例略有增加，操作系統漏洞的比例則略有減少。2023年 已 知 被 利 用 漏 洞（KEV）目 錄 和 谷 歌 跟 蹤 0day漏 洞 利 用 名 單顯示，被利用漏洞數量最多的產品是Windows。

2023年，我國由安全漏洞引發的威脅趨向于破壞性攻擊。信息泄露和管理員訪問權限獲取成為最主要的兩大威脅。未授權的信息泄露，可能嚴重侵犯個人隱私，引發財務損失，損害商業信譽，甚至觸發法律訴訟。攻擊者一旦通過漏洞獲取管理員權限，便能夠完全掌控系統，訪問敏感數據，修改系統配置，進行任意操作。

0day漏洞成為攻防對抗中的“隱形陷阱”

2023年，0day漏洞利用數量顯著增加。谷歌團隊分析，在過去十年中，尤其是最近三年，0day 漏洞的在野利用事件明顯增長，因為黑客利用 0day 漏洞進行攻擊時能夠有效規避現有的安全防護措施，從而大幅提升攻擊的成功率。網絡安全面臨的威脅日益嚴峻，建立并提升自身的0day漏洞攻擊獵捕能力對各企事業單位的安全來說至關重要。

2023年，深瞳漏洞實驗室獵捕到的100+個Web場景下的在野利用0day漏洞，其中一半以上出現在攻防演練場景中?？梢姼呖衫?nbsp;0day 漏洞依然是攻防場景下的主力軍，其中弱口令、信息泄露漏洞是橫向移動主要的漏洞， 其次是SQL 注入漏洞、API 訪問控制漏洞。隨著攻防對抗常態化，將會有越來越多的 0day 漏洞被利用于網絡攻擊，必須提升針對0day的獵捕和快速處置能力，以有效抵抗未知的威脅。

開源軟件成為漏洞攻擊的“新寵”

數據顯示，2023 年較為熱門的漏洞多數為開源軟件，例如 Apache ActiveMQ 遠程代碼執行漏洞、Apache RocketMQ 遠程代碼執行漏洞、Apache OFBiz 遠程代碼執行漏洞等，這些在行業內都屬于影響較大，危害較高的案例。

Synopsys 在 2023 年的報告中分析了 1703 個代碼庫，其中 96% 包含開源代碼，76% 項目全部開源。其中，84% 的代碼庫至少包含一個已知的開源漏洞，48% 的代碼庫包含高危漏洞。

由于開源組件是開放的，沒有任何形式的保證，使用開源軟件會給下游用戶帶來較高的安全風險。在使用開源軟件時，有必要仔細評估其安全風險，并采取安全措施。

智防千里“政策+技術”雙重防線抵御威脅

國家制定了各項法律法規，為數字化建設打下堅實的安全基礎。為確保國家網絡安全和網絡產品及關鍵系統的穩定運行，《網絡安全法》、《網絡產品安全漏洞管理規定》等法律法規先后出臺。相關的信創漏洞國家標準也在制定中，旨在推動漏洞管理工作的制度化、規范化和法治化，提升各責任主體的管理水平。

深信服基于自身持續積累的流量類樣本，IP、URL、漏洞等情報數據，安全人員研判知識，進行大模型預訓練和微調，構建了安全 GPT 檢測大模型。安全 GPT 檢測大模型能夠發現混淆、編碼類高繞過流量，并針對 Web 漏洞有良好檢出效果，具有較強Web 0day 漏洞檢測能力，同時針對攻擊成功研判具有較高準確率。

安全 GPT 檢測大模型具備了 HTTP 流量理解能力、代碼理解能力、攻防對抗理解能力和安全常識理解能力，類似一個懂攻防、識代碼的“虛擬專家”，致力于針對 0day 等高對抗攻擊，實現全覆蓋、零繞過，并重點識別傳統檢測引擎無法發現的高對抗、混淆類未知威脅。

網絡安全是一場長期的攻防對抗戰役。作為網絡安全領域的從業者，讓我們攜手共進，為構建一個更加安全、穩定的網絡環境而努力！