2017年漏洞态势 — 回顾及分析

阅读量271341

|评论2

发布时间 : 2018-02-04 14:30:41

漏洞是评判网络安全情况的一个重要指标,360CERT对2017年披露的漏洞进行统计分析。

截止到12月下旬,2017年漏洞一共披露了15120枚,其中低危漏洞1576枚,中危9138枚,高危4406枚。覆盖1444家厂商或组织近4千种产品,累计影响多达13多万个版本。

对漏洞种类进行归纳统计,其中Buffer Errors所占比例高达16.66%,缓冲区相关漏洞存在于各种操作系统,应用程序中;可以导致拒绝服务,权限提升,代码执行等。不正确得访问控制占到9.88%,攻击者可以通过该类型漏洞实现权限提升,读取敏感信息,代码执行,逃避验证等。之后跨站脚本攻击(XSS),信息泄露,输入验证,SQL 注入等各占9.41%,9.09%,6.31%和2.66%。

同时对漏洞效果进行归纳统计,作为补充:

将时间拉长,看一下近十年的漏洞情况:

可以看到,每年的漏洞趋势大致相同,在1,4,7,10月会有高峰。难道是因为安全研究人员为了季度和年度的KPI导致的?

2017年披露的漏洞数量较往年有明显上升的趋势,2017年网络安全形势严峻,漏洞披露数量环比上升120%,将数据细化:

对季度数据进行统计,2014年第4季度有一个高峰,此外之前的三年趋势都是相对平稳的。

近几年,世界范围内都加大了网络安全投入,安全人员基数增多,伴随着的漏洞披露增多,这是必然的。

2013年到2017年,高危漏洞所占比例分别为33.5%,24.2%,37.1%,38.3%和29.4%。2014年漏洞披露数量增多,集中在5-6分段,而2017年,4-8分数段漏洞数量整体拉升,相比之下,高危漏洞增长并不明显,占比有所下滑。从增长分布来看,有价值的漏洞还是比较难挖掘的。2017年漏洞数量上升,需要警惕,但也不用过度恐慌。

漏洞不断挖掘,曝光和修复可以很大程度上提升系统的安全性,但是如果不能及时修复,会失去攻防大战的先机,处于被动的地位。2018年1月份漏洞披露数量已达到历年新高,我们相信2018年的网络安全形势依旧严峻。

本文由360CERT安全通告原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/97402

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360CERT安全通告
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66