Skybox Security今年发布《2023 年脆弱性和威胁趋势报告》，充分描绘了当下网络攻击形势的紧迫性。漏洞数量急剧增加，攻击速度持续提升，影响逐步升级。威胁方以更敏感的资产为目标，破坏性指数级增加。

主要发现

新漏洞激增

国家漏洞数据库（NVD）在2022年新增了25,096个漏洞。比2021年报告的20,196个新漏洞增加了25%。比 2021年报告的 20196个新漏洞激增了25%。漏洞不仅在增加，而且增速持续提升。

累计漏洞近20 万

截至2022年底，NVD编录的漏洞总数达到192051个，很快将超过20万个。这就是20万个漏洞。

大多数新漏洞为中危和高危

2022年报告的漏洞中有 80%为高危和中危。只有16%被视为严重。严重性并不等同于风险，风险取决于多种因素。许多威胁行为者专门针对不太严重的弱点，利用这些漏洞进入系统和横向移动并升级攻击。

后门是增长最快的恶意软件类别

后门恶意软件是2022年追踪到的增长最快的恶意软件类型。超过了加密劫持和勒索软件等类别。在去年的Skybox报告中位居恶意软件排行榜首位。后门使黑客能够绕过正常的身份验证，在未经授权的情况下访问系统。后门恶意软件的激增是表明高级持续性威胁（Advanced Persistent Threatware）增加的几个迹象之一。APT复杂的多阶段攻击，入侵者会偷偷进入系统在这种攻击中，入侵者会偷偷进入系统并长时间徘徊。在此期间，可能会安装恶意软件、窃取信息、进行间谍活动、 破坏操作等等。APT 通常由网络犯罪组织和民族国家。组织和民族国家。APT的增加反映出 威胁行为者日益复杂和野心勃勃。

新增漏洞数创纪录

2022年公布的 25096个新漏洞创下了单年度的历史记录。这一数字高于2021年的20196个新漏洞记录，而2021年的新漏洞记录也创下了当时的记录。25%的同比增幅（2022年的新漏洞数与2021年的新漏洞数相比）是我们自2017年以来看到的最大增幅。

新漏洞的激增有多种原因。积极方面看，软件和硬件供应商在更严格的法规和政策的约束下，可能越来越善于识别和披露其产品中现有的安全漏洞。另一方面，由于快速的技术变革导致产品开发过程中出现更多错误，新漏洞正以更快的速度被引入产品中。数字化转型和云迁移的加速、仓促的开发进度、不充分的验证以及软件复杂性的增加，都为错误创造了更多的机会。

与此同时，系统之间日益增长的相互依赖和相互联系正在打开新的切入点，促成新的攻击模式。随着技术和载体的发展，以前被认为安全的领域也出现了漏洞。例如，2022年报告的 "新"安全漏洞之一，是有22年历史的SQLite数据库库软件中的整数溢出。在编写该软件的32位计算时代，该漏洞并不被认为是可利用的，但随着64位架构的普及，该漏洞变得不堪一击。

截至 2022年底，NVD发现的CVE总数达到192051个。到2023年年中，总数可能会超过200,000个。这些漏洞可能会在企业中存在多年，被不断扩大的恶意软件库所利用和攻击。大型企业可能拥有数十万甚至数百万个总漏洞实例，分布在IT和 OT环境、内部系统、公共和私有云服务以及远程端点等广泛的攻击面。所有这些都使得传统的、一揽子的漏洞管理方法，也就是"扫描并修补所有漏洞"变得徒劳无功。

威胁形势发展迅速

随着组织内部漏洞的增加，外部威胁仍持续加剧。如世界经济论坛（WEF）所指出的，"网络威胁行为者的准入门槛降低、攻击手段更具侵略性、网络安全专业人员匮乏以及管理机制零散，所有这些都在加剧风险"。网络犯罪目标和手段的范围急剧扩大，网络攻击在2022年创下历史新高，给全球企业、政府和机构造成了越来越大的损失。

供应链攻击

供应链攻击者通过入侵可信供应商的单一广泛使用的产品或软件组件，可以同时感染许多组织，而且很难被发现和击退。这就是2020年末报道的臭名昭著的SolarWinds攻击事件中发生的情况，据信这次攻击影响了数千家组织。在一项大规模的 分析师预计，供应链攻击将在未来几年内急剧上升，到2025年将影响近一半的企业。

对网络设备的攻击

2022年，利用 Fortinet和 Sophos等公司防火墙漏洞的事件层出不穷，针对负载平衡器和流量管理器等其他网络技术的攻击也层出不穷。

运行技术和关键基础设施攻击

用于监控能源、公用事业、制造、楼宇自动化、运输系统和医疗保健等领域物理系统的操作技术，越来越频繁地成为各种攻击者的目标。世界经济论坛指出："对关键基础设施的攻击已成为新常态。

勒索软件攻击

一些消息来源表示，在经历了数年的高速增长后，勒索软件攻击的数量在2022年可能有所放缓。然而，今年许多代价最高的网络攻击都涉及勒索软件，勒索软件的持续威胁也是推网络保险价格上涨的因素之一。

新方法和新工具

攻击者继续通过各种狡猾的新战术、技术和程序（TTPs）来提高气攻击水平：

• 民族国家行为者和有组织网络犯罪分子使用的高级持续性威胁（APT）正在增加；

• 恶意软件开发者正在使用 C 和 C++ 等旧语言编写恶意程序，并用 Rust 和 Nim 等新语言对其进行重写或重新编译，从而降低反病毒软件、防火墙和端点检测与响应 (EDR) 解决方案对其的检测能力；

• 恶意软件即服务和网络犯罪即服务蓬勃发展；

• 恶意软件的用途越发广泛，单个软件包可用于执行更多种类的攻击；

• 恶意软件的破坏性提升。

国家支持的行动

日益紧张的地缘政治局势正在助长民族国家新一轮的网络活动。俄乌战争是最大的热点，引发了数以千计的漏洞利用和攻击，如对乌克兰电网的反复攻击。其中一些网络攻击是由民族国家行为者直接策划的，另一些则是由与国家结盟的实体"黑客活动家"，或以俄罗斯为基地的私营网络公司策划的。支持俄罗斯或乌克兰的"黑客活动家"，或以俄罗斯为基地的私人利益集团 网络犯罪，以规避西方的经济制裁。

利益冲突

网络犯罪分子的目标比以往任何时候都要大，造成的危害也比以往任何时候都要大，他们威胁的不仅是单个组织，还有整个经济体、政府和社会。对重要基础设施和服务的攻击不断升级，危及公众健康和安全。2022年末，针对哥斯达黎加政府的勒索软件攻击浪潮破坏力巨大，导致全国进入紧急状态。据报道，针对医院的攻击正在激增。俄乌冲突点燃了"混合战争"时代，敌对行动在实体和虚拟战线同时发生。一些分析师预计，未来商业网络犯罪分子将采用网络战战术。

高风险评估至关重要

面对大量的漏洞和威胁，安全团队需要更好的方法来分辨噪音，并优先处理最紧急的问题。传统的风险评分工具主要关注严重性，会给安全团队带来大量错误警报，让他们追逐大量可能并不代表重大风险的漏洞。相比之下，高级风险评估解决方案可以帮助安全团队将注意力集中在真正重要的问题上，而不会在不重要的问题上浪费时间。这需要权衡多个因素：不仅是严重性，还包括可利用性、风险敞口、资产重要性，以及理想情况下的业务影响。在此过程中，先进的多维风险测量可将可采取行动的漏洞列表按数量级进行筛选，使团队能够有效地将有限的资源分配到最需要的地方。

网络风险量化重要性与日俱增

衡量网络安全问题对业务的潜在影响的能力被称为网络风险量化（CRQ），是当今最强大的风险评估解决方案的一项重要功能。它能让企业估算出特定漏洞暴露后可能造成的有形伤害，反之，如果漏洞被封堵或缓解，则可能带来的收益。CRQ使优先级排序不再靠猜测。公司可以对相对业务风险进行准确排序，并将工作重点放在最大限度地降低风险上。

CRQ意味着不只是简单地猜测资产的重要性，而是要了解攻击成功的潜在后果：对公司运营、财务、人员、客户和合作伙伴的影响。CRQ用公司管理层和董事会都能理解的具体术语取代了抽象的风险度量，它还能帮助安全团队证明预算的合理性并展示漏洞管理计划的有效性。CRQ正迅速成为一项必备功能，而美国证券交易委员会等监管机构则为其提供了额外的推动力，该委员会正在为上市公司的网络风险会计和披露提出新的规则。

网络设备漏洞特异性风险

近年来，网络设备已成为一个备受关注的领域。防火墙、流量管理器、虚拟专用网络(VPN)、路由器和负载平衡器等网络产品中的漏洞比比皆是。大型企业拥有大量相关系统，任何特定的漏洞都可能在成百上千个实例中重复出现。其中一些漏洞使坏人能够绕过防火墙等正常保护措施，更广泛地访问公司网络和与之相连的系统。利用这些漏洞设计的恶意软件种类越来越多，对网络设备的攻击也呈上升趋势。更糟糕的是，许多网络设备很难或无法进行扫描和打补丁，因为公司无法承受系统离线或降低服务质量的代价。因此，安全团队必须利用其他工具，在不主动扫描的情况下找出安全漏洞，并在无法打补丁的情况下降低风险。

新恶意软件：后门增加，加密劫持减少

加密劫持程序劫持计算能力来挖掘新的加密货币，这在近几年加密货币繁荣时期是一项利润丰厚的活动。但去年随着加密货币价值的暴跌，加密挖矿的利润变得越来越低。新的加密劫持程序数量也相应减少。目前，加密劫持在2022年恶意软件增长排名中几乎垫底。

同样，新的勒索软件程序在2021年是增长速度第二快的恶意软件类别，但在2022年趋于平稳。这与第三方数据显示的赎金软件攻击在这一年有所下降的情况相吻合，也许是因为受害公司越来越多地拒绝支付赎金。

相比之下，新后门恶意软件的生产在2022年急剧上升，超过了排名中的其他所有类别。这与一些第三方研究人员的观察结果一致。例如，IBM的X-Force安全服务发现，涉及后门恶意软件的事件在2022年激增，取代勒索软件成为客观存在的首要行为。

威胁者利用后门绕过身份验证，在不被发现的情况下渗透系统和网络。后门是许多APT活动的一个主要方面：在持续攻击中，入侵者可能会花费数周、数月甚至数年的时间进行侦查、收集信息和计划下一步行动，然后在适当时机发动攻击。APT是大型、组织严密的威胁组织、国家和网络犯罪团伙的特征，而后门恶意软件的突飞猛进为越来越多的证据表明网络犯罪分子变得更加足智多谋、能力更强、更具战略性增添了砝码。在恶意软件生产中看到的变化也说明，如今的恶意软件开发商是多么灵活和精通市场，能迅速调整产品组合，利用最新的网络犯罪趋势。

为了更好地了解2022年首次出现的恶意软件浪潮，更仔细地研究了这些程序旨在利用的具体漏洞。上表显示了新恶意软件利用的十大CVE，并按照针对这些CVE的恶意软件程序数量进行了排名。其中有几个重要趋势非常突出：

Log4Shell存续

Log4Shell漏洞是在 2022年跟踪的新恶意软件中最受欢迎的目标。Log4Shell首次报告于 2021年，是开源 Log4J日志软件中的一个漏洞。Log4J无处不在、漏洞的性质及其易被利用性使Log4Shell成为迄今发现的最严重漏洞之一。尽管Log4Shell已不再是头条新闻，但针对它的新恶意软件浪潮表明，它仍然是威胁行为者的重点攻击对象。尽管最初的Log4Shell攻击在2022年年中有所减弱，但到了年底，攻击又开始上升。除了Log4Shell之外，一些新的恶意软件程序还以另一个Log4J漏洞为目标：Apache Log4j2远程 DoS漏洞，该漏洞在最具攻击目标漏洞列表中排名第九。

开发环境是肥沃的狩猎场

这凸显了近年来另一个重要的威胁趋势：攻击者越来越认识到软件开发和DevOps环境是易受攻击的高价值目标。去年，数百万人使用LastPass来保护和管理自己的密码，该服务遭到攻击的事件被广泛报道。攻击者最初获得了开发环境的访问权限，后来利用由此获得的信息成功入侵了生产实例并外泄了用户账户数据。在其他案例中，黑客潜入开发环境，收集和出售敏感信息，并在软件产品中嵌入恶意代码。

网络设备为首要目标

另一类新型恶意软件允许威胁行为者控制广泛使用的网络设备和软件，如VMware身份管理器和F5网络控制器。破坏这些关键网络资产可使黑客实施各种利用和攻击活动。因此，除了扫描和打补丁之外，识别和降低网络风险的方式也至关重要，而扫描和打补丁在网络设备中并不总是可行的。更广泛地说，十大恶意软件榜单中几乎所有的恶意软件都以某种形式的远程访问和入侵为目标。这再次表明，越来越多的攻击者正在采用日益复杂和阴险的策略。

OT 仍为主要薄弱环节

美国网络安全和基础设施管理局（CISA）在2022年发布了385份 OT建议，高于 2021年的 379份。近年来，OT已成为一个备受关注的领域，因为这些系统中有许多防御薄弱或根本没有防御，而且OT资产控制着能源、制造、公用事业、医疗保健和其他行业的关键基础设施和其他重要系统。越来越多以前封闭的OT系统正暴露在攻击之下，因为它们被连接到公司网络和互联网，以实现远程和自动化管理。其中许多系统缺乏强大的安全保护措施，很难或根本无法进行扫描和打补丁。对于从破坏到勒索的恶意攻击来说，这些系统都是活靶子，而OT攻击现在已司空见惯。随着OT与IT网络的融合，威胁者越来越多地利用其中一个环境中的漏洞来接触另一个环境中的资产。与网络设备的情况一样，企业需要更有效的方法来检测和解决OT安全漏洞，使用的技术不能仅限于扫描和打补丁。下图显示了CISA咨询最多的十家OT供应商。西门子遥遥领先。部分原因可能是西门子的产品组合更广泛，也可能是因为该公司在发现和披露漏洞方面更为积极。

下图列表显示的是根据NVD报告，2022年报告的新漏洞数量最多的十种产品。这在很大程度上不足为奇：规模更大、更复杂的软件往往会有更多的漏洞，而这些产品都是市场上规模最大、最复杂的软件产品。值得注意的是，虽然这份名单上的大多数产品通常与消费系统相关，但其中一些产品也广泛应用于服务器。该点提示需要考虑到大量的漏洞和修补漏洞所需的时间，实施和维护适当的配置和控制以防止服务器受到攻击。

网络安全面临复杂性危机

所有趋势都促使网络安全复杂性急剧上升。漏洞的数量和种类激增、攻击面激增、威胁行动者数量更多、技术更娴熟、组织更严密、装备更精良。其目标更大，造成的破坏更多。他们的行动速度也更快：从发现漏洞到利用漏洞的时间在某些情况下缩短到了几个小时。由于政府监管机构、标准制定机构和公司政策提出了一系列新要求，合规负担也在不断加重。

随着工作量如滚雪球般增长，网络安全团队受到有限预算和长期人才短缺的制约。据世界经济论坛（WEF）估计，全球网络专业人才缺口达300万人，而在最近的一项调查中，62%的企业表示网络安全人员配备不足。传统方法无法检测到许多安全漏洞，同时向团队发出假阳性信号，无法有效地确定优先次序和分配资源。"解决方案疲劳"是普遍现象。多年来，安全领导者一直试图通过购买同类最佳的安全技术来解决独特或特殊的安全挑战。这使企业面临安全解决方案数量繁多、预算庞大的难题。

持续威胁暴露面管理重塑竞争环境

目前的漏洞和威胁趋势使网络安全防护难度提升，网络犯罪成功率提升。未持续改进的安全工具很难发挥作用，反而使问题更加复杂。好消息是，一种被称为"持续威胁暴露面管理"的新方法在性能、效率和降低风险方面都有显著改善。Gartner®将其称为持续威胁暴露面管理(CTEM)，并将其描述为"一套流程和功能，使企业能够持续、一致地评估企业数字和物理资产的可访问性、暴露性以及可利用性。

• 持续整合发展。整合网络安全功能，消除困扰点解决方案的脱节和供应商疲劳。利用无缝互操作平台管理漏洞、合规性挑战、网络风险和策略配置管理；

• 保持全局可见性。了解整个攻击面，包括 内部部署和云资产、IT和OT环境、混合网络、设备与应用程序。汇集所有相关资产数据，包括属性(所有权、位置）、关联性以及安全策略；

• 识别检测各类风险。不仅利用主动扫描，还利用无扫描检测和威胁情报。持续验证 持续验证合规性，同时检测安全控制中的错误配置和漏洞，以免资产受到威胁。

• 评估风险并确定优先级。使用上文所述的多维风险评分以及暴露和访问分析、被动攻击模拟和网络建模等技术 模拟和网络建模等技术，先进的解决方案可提供精细的 风险优先级，以优化资源分配，最大限度地发挥修复工作的作用。优化资源分配，最大限度地发挥修复工作的作用。

• 采取合理补救措施。当今最好的解决方案建议采取补救措施，并强制执行网络分段等策略和最佳实践，即使在无法打补丁的情况下，也能限制损失。

• 自动响应并成功验证。一流的解决方案可根据风险量化自动确定优先级，使用自动化工作流启动补救措施，验证纠正措施并报告结果。

• 携手专家。网络安全是一个团队游戏，需要广泛的能力以及不同参与者之间的协同合作。在选择供应商时，不仅要关注其技术和产品，还要关注其实际经验、解决问题的能力以及从客户和生态系统中吸取经验教训的能力。

  将以上功能结合，可以为漏洞和安全策略管理提供一种主动、综合、可持续的方法。持续暴露管理使网络安全变得更加严谨、务实和经济高效，并使资源有限的团队能够避免超负荷工作，专注于对其业务真正重要的风险。