2022漏洞管理指南.docx

O青藤云安全2022漏洞管理指南CONTENTS目录执行摘要2漏洞简介3什么是漏洞？3漏洞、威胁与风险3漏洞的类型4漏洞管理4漏洞管理的必要性5漏洞的标准化建模5漏洞管理的流程7全生命周期的漏洞管理10改善漏洞管理的步骤11定期进行渗透测试11制定漏洞补丁时间计划表11进行细粒度的IT资产盘点12随时更新网络威胁情报12加强网络安全基础设施的管理12比快更快，比准更准的漏洞管理方案13总结15附录：2021年最常被利用的TOPl5漏洞162021年最常被利用的Topl5漏洞16漏洞缓解措施18执行摘如果要说2021年的网络安全形势对今年有什么启示，那就是不要用过去的武器对抗今天的战役。在漏洞管理领域尤为如此。对于很多企业来说，漏洞管理始终是个让人头痛的难题。在过去的一年里，由于漏洞的原因，发生了两件骇人听闻的安全事件：2021年伊始，安全行业遇到了前所未有的SolarWinds供应链攻击；2021年结束时，又发现了更令人震惊的Log4Shell漏洞，影响到数以亿计的设备。除此之外，漏洞的发展还呈现出以下态势：新增漏洞达到有史以来最高数量。2021年公布的新漏洞有20175个，比2020年的18341个有所增长，数量再创新高。这是有史以来报告漏洞最多的一年，也是2018年以来漏洞数量同比增长最大的一年。这些新增漏洞和历史漏洞累计形成了庞大的漏洞库，让安全和运维团队更难对漏洞进行优先级排序和补救。 加密劫持和勒索软件导致产生新的恶意软件。过去一年里，恶意软件行业继续涌现出各种各样的恶意软件，特别是加密劫持和勒索软件程序，这让威胁行为者更容易发动攻击并且很容易获得快钱。 威胁者利用漏洞的速度加快。有数据显示，在野漏洞利用的数量增加了24%,这表明网络犯罪分子现在利用新漏洞的速度加快，留给安全团队在真正发生攻击前检测并处理漏洞的时间更短了。在漏洞数量快速增长，攻击者攻击手段不断更新的情况下，没有个行业是安全的，甚至我们依赖的能源、水和食物等关键基础设施也受到攻击。根据Ponemon研窕所与IBM发布的2021数据泄露成本报告显示，2021年数据泄露的平均成本是424万美元。为提高漏洞管理效率，本指南详细阐释了漏洞的概念，介绍了漏洞的标准化建模与全生命周期的漏洞管理，并列出了2021年最常被利用的TOPI5漏洞，以期帮助更多用户更好地处理漏洞问题，减少因漏洞而引发的攻击。漏洞简介网络犯罪分子可以利用漏洞来实现任何特定目的，因此，组织机构需要识别漏洞，并定期了解漏洞的最新更新情况和预防流程，以提高系统操作的安全性。解决和管理在逐年攀升的漏洞，需要按照严格的要求进行漏洞检测和补救。一些重大漏洞是硬件、程序、网络和软件的漏洞。什么是漏洞？原则上，漏洞是指系统或网络中的一个脆弱点，其可能会被网络犯罪分子利用，以获得未经授权的访问，从而造成破坏。漏洞利用之后会发生什么呢，谁也说不准一一安装恶意软件、窃取敏感数据、利用恶意代码造成损害等等。以下是有关漏洞的几个官方定义： NIST：系统、系统安全程序、内部控制或实施中存在的脆弱点，其可能会被威胁行为者利用或触发。ISO27005：资产中存在的、可被威胁行为者利用的脆弱点，其中资产是指对组织机构、其业务运营及其连续性有价值的任何东西，包括支持组织使命的信息资源。 IETFRFC4949：系统设计、实施或操作和管理中存在的缺陷或脆弱点，其可能会被利用，违反系统的安全策略。漏洞、威胁与风险在了解了漏洞的定义之后，我们来看一下漏洞与威胁、风险的异同。漏洞VS威胁漏洞是会破坏组织机构IT安全体系的差距或脆弱点，而威胁则是组织机构所面临的风险，包括植入危险的可执行文件、恶意软件攻击、勒索软件攻击等等。威胁潜伏在当今的网络威胁环境中，寻找环境中可以利用的漏洞。没有相同的两种威胁，总会有一些威胁比其他威胁更有可能实现漏洞利用。漏洞VS风险风险是指对组织机构的网络安全和漏洞的潜在威胁的彻底评估。它不只是考虑漏洞被利用的概率，也考虑事件对组织机构的潜在商业影响。漏洞的类型漏洞有多种类型和形式。常见的漏洞类型包括以下几种。软硬件漏洞硬件漏洞是指设备或系统中的缺陷或脆弱点，能够让攻击者远程或现场利用系统。常见的硬件漏洞包括设备未加密、未对存储设备加以保护、以及系统或设备版本老旧。软件漏洞是指软件中的缺陷或瑕疵，攻击者可以基于此远程控制系统。这些缺陷有时与软件编码或设计有关。例如，某些软件漏洞是缺乏输入验证、跨网站脚本、数据未加密造成的等。网络漏洞网络漏洞会导致软硬件问题暴露给恶意软件或配置欠妥当的防火墙。常见的网络漏洞包括错误配置的防火墙、社工攻击和无保护的网络通信。此外，一个简单的网络系统中存在着许多应用程序和操作系统，从而让攻击者通过利用其中的缺陷或漏洞进入整个网络。程序性/操作性漏洞如果组织机构的安全程序存在漏洞，也会让组织机构受到攻击。为了提高安全性，组织机构需要遵守标准的密码策略。组织机构需要适当地维护各种操作程序，以避免被利用。组织机构的网络安全系统需要按照最佳实践来以防止攻击者不定期的网络攻击。组织机构进行良好的培训和知识共享有助于避免恶意软件攻击，并减少漏洞利用。操作系统漏洞操作系统漏洞是指应用软件或操作系统内的缺陷。这些漏洞是操作系统内的操作逻辑或代码中的错误，攻击者会利用这些漏洞来获得访问权限并造成破坏。恶意软件、网络入侵、缓冲区溢出和虚拟化是攻击者利用操作系统漏洞时的常用攻击向量。但尽管如此，也很难开发一个完全没有漏洞的软件。漏洞管理漏洞管理是用于识别、评估、管理整个组织机构的系统和软件漏洞并针对漏洞采取补救措施的系统性和战略性流程。漏洞管理会监测风险并保持组织机构的当前安全状态。因此，组织机构必须通过漏洞管理来维护系统安全并减少威胁。漏洞管理的必要性漏洞是网络犯罪分子可以使用或利用的薄弱环节或关键领域。随着漏洞数量的不断增加，确保网络安全迫在眉睫。漏洞管理是识别和评估IT系统风险的过程，旨在清除漏洞或采取措施进行补救。漏洞管理的主要目标是扫描、调查、分析和报告风险或安全漏洞的细节，并提供缓解方法和策略。漏洞管理是解决和补救安全漏洞以避免网络攻击或漏洞利用的持续过程。漏洞管理有助于识别和消除薄弱环节，确保网络免受潜在攻击、编码错误或缺陷的影响。漏洞管理是确保网络安全的基本方法，有助于提高系统的安全性。漏洞扫描在漏洞管理过程中起着重要作用。漏洞扫描是检测、评估和评价系统和软件漏洞的过程。检测漏洞或脆弱点有助于避免攻击者造成进一步的损害。NIST建议每季度进行一次漏洞扫描。对于依赖网络满足日常运营需求或拥有大规模敏感数据的组织，也建议每月或更多地进行漏洞扫描。网络安全和计算机安全是漏洞管理的基本组成部分。它控制着与信息有关的安全风险，并专注于复杂的网络犯罪情况。通过对IT环境中所涉及的风险进行漏洞处理，可以确保持续了解漏洞情况。为实现有效的网络安全效果，可以采用各种扫描和检测工具。采用工具进行漏扫比人工安全系统效果更好。虽然工具采购需要投资，但这在组织机构可负担的起的范围内。而且，与泄露敏感数据损失数十亿元相比，采用工具更划算。漏洞的标准化建模当下，漏洞分类标准和漏洞模型都有定成熟度，有不少标准化模型，包括CWE.CVE.CVSSsCPE、CAN、CAPEC.CKC等。在漏洞管理中，它们在不同阶段发挥着不同作用，这是安全人员需要提前了解的。发现报告优先级排序40缓解0验证工件/活动弱点漏洞 利用漏洞利 、用包，一缓解CAPEC ATT&CKCKCOVAL图L标准化漏洞模型 CWE(CommonWeaknessEnumeration)：是开发的常见软件和硬件安全弱点列表。基本上可以认为CWE是所有漏洞的原理基础性总结分析,CVE中相当数量的漏洞的成因在CWE中都可以找到相应的条目。如在代码层、应用层等多个方面的缺陷，从CWE角度看，正是由于CWE的个或多个缺陷，从而形成了CVE的漏洞。 CVE(CommonVulnerabilities&Exposures):公开的漏洞都拥有唯一标识，漏洞编号就好比是出版物的ISBN号。目前最常见的漏洞编号，是引用MITRE组织推出的CVE编号系统,编号由(CVENUmberingAUthOritieS)CNAS分配。漏洞信息通常包括简要描述、告警、缓解措施和报告。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。但并不是有公开披露的漏洞都有一个相关的CVE-IDo保密的和未公开披露的漏洞通常被称为零日漏洞。 CVSS(CommonVulnerabilityScoringSystem)：CVSS建立于1990年，目前由FIRST负货运营。它通常是基于对每个漏洞特征进行定量计算一个大致的评分(O-IO分)，然后输出一个定性值(低、中或高)。当前的CVSS最新版本是2019年6月发布实施V3.1。 CPE(CommonPlatformEnumeration)：通用平台枚举项，为IT产品和平台提供了统一的名称，原来属于MlTRE运营，2014年交由NIST,作为NVD基础资源的一部分。它是对IT产品的统一命名规范，包括系统、平台和软件包等，CPE在信息安全风险评估中对应资产识别。 CAPEC(CommonAttackPatternEnumerationandClassification)：是攻击模式枚举分类，是美国国土安全部建立于2007年，现在主要是由MlTRE在运营，提供了公开的可用攻击模式，在信息安全风险评估中应对威胁。 OVAL(OpenVulnerabilityandAssessmentLanguage)：用于表达系统安全状态，是可以用于检测的技术细节指导，包括获取系统配置信息、分析状态、输出报告三个步骤。OVAL建立于2010年，2016年从MlTRE转交给CIS组织。 CKC(cyber-attacksandtheCyberKillChain)：CKC的全面理解是建立在对漏洞生命周期的认识，包括漏洞出现和利用。CKC还通过分配特定事件的攻击行为来提供威胁情报，并使用模型描述来理解这些行为。这种知识有助于目标系统的操作员确定一个成功的防御策略和解决某些网络攻击问题。漏洞管理的流程漏洞管理流程一般情况下分为五个步骤：识别、评估、排序、补救、以及报告。图2,漏洞管理的五个步骤识别漏洞识别是我们通常所说的漏洞扫描，也是漏洞管理的第一步。根据现有资产情况，需要进行漏洞扫描的资产通常包括笔记本、PC、服务器、数据库、防火墙、交换机、路由器、打印机等。漏洞扫描需要对所有这些资产进行扫描，以发现已知漏洞。漏洞识别原理漏洞识别一般是通过漏洞扫描器实现的，识别漏洞的形式无外乎有四种：非认证式扫描、认证式扫描、API扫描、被动流量扫描，前两种是最普遍的方式。非认证方式扫描，也称为网络扫描方式(NetWorkSCannirg),基本原理就是发送ReqUeSt包，根据Response包的banner或者回复的报文来判断是否有漏洞，这种分析Response包内容的主要逻辑是版本比对或者根据PoC验证漏洞的一些详情来判断。认证式扫描也称为主机扫描方式(AgentBasedScanning),这种方式可以弥补网络方式的很多误报或者漏报的情况，扫描结果更准，但是会要求开发登录接口，需要在主机进行扫描。以NeSSUS举例，基本流程是下发一个脚本执行引擎和NASL脚本进行执行，在主机保存相关数据，然后上报服务端，最后清理工作现场。API扫描与应用扫描方式类似，这里不做深入分析。被动式流量扫描比主动式的流量扫描从带宽IO上没有任何影响，但是需要对所有请求和返回包进行分析，效果来说最差，因为某些应用如果没有请求过就无法被动地获取相关流量数据进行分析。评估漏洞评估是在漏洞识别的基础上进行漏洞严重性的评估，这一步非常重要会影响到后面的补救步骤。比较常见的漏洞评估是使用通用漏洞评分系统(CVSS)评分法。CVSS是一个标准的漏洞管理解决方案，用于对漏洞进行风险评级和打分。根据CVSS的分数，可以将漏洞分为危急、高危、中危和低危。使用不同工具有助于评估整个系统的不同漏洞。例如，Web应用扫描器可以扫描已知的攻击模式，协议扫描器可以检查启用的IP级协议，端口扫描器可以发现开放的端口。排序由于漏洞越来越多，组织机构很难，有时甚至不可能解决所有漏洞。根据风险系数或威胁对漏洞进行优先级排序，可以更好地补救漏洞。在漏扫报告中确定优先级指标和评级，以便在后续的补救阶段进行深入分析。补救这一步是针对发现的漏洞进行补救和处理。在这个过程中，正确的补救方法和具体的处理策略是至关重要。漏洞补救不是简单的打补丁，而是一个系统化的流程。漏洞补救过程通常包括以下几个步骤： 获取厂商的补丁； 分析补丁的依赖和系统的兼容性以及补丁的影响； 建立回滚计划，防止补丁对业务造成未知影响； 在测试环境测试补丁修复情况； 在部分生产环境测试补丁修复情况； 进行灰度上线补丁计划，乃至全量补丁修复； 分析补丁修复后的系统稳定并监控； 进行验证补丁是否修复成功，漏洞是否依然存在。对于很多无法直接根除漏洞进行补丁修复的情况，比如ODay,不在支持范围的系统或者软件，业务需求无法中断，补丁速度滞后等情况，我们要采取降低漏洞影响的操作，如下图所示：不打补丁的原因缓解风险的控制方案选择缓解措施的考虑因素Oday-没有补丁脆弱系统的位网络屏蔽端口、NIPS、 DAP、WAF 等等主机系统过时-没有补丁打补丁操作起来 不可行腌弱系统的类型EPP、方式漏洞利用、加固配置'功能下线、白名单等等应用/数据库DAP、RASP 等等漏洞利用风险的类型（远程、本地）打补丁的速度不足以应对威胁图3:漏洞缓解措施通常，可以通过网络、终端、应用和数据等几个方面来采取漏洞缓解措施，具体的缓解措施包括：,隔离系统网络，包括防火墙规则和网络区域划分；网络访问控制； NIPS、WAF、SW、DAP、RASP等软件或者设备签名规则更新； HIPS终端类安全产品进行阻断； EPP类安全产品类似白名单机制、系统加固等：阻断有漏洞软件的网络连接；主机防火墙进行端口阻断。报告这一步至关重要，会传达有关资产清点、安全漏洞和整体风险的关键发现。报告中还会介绍最相关的漏洞及其补救方法的详细信息。漏洞报告的重要组成部分包括执行摘要、评估概述和漏洞详情。全生命周期的漏洞管理当今的漏洞管理生命周期理论是由Arbaugh等人在2000年左右定义的概念。通过漏洞生命周期映射，可定义过渡边界的事件。由于漏洞会触发相关的漏洞利用事件，风险程度也在提发现M洞发现CVE/NO-CVE报告修复闻M和漏词 利州信口技 fft漏涧产生局部进行林丁 ttft局部进行补丁 修复早期漏洞利川MiH 利川 岛”漏温和漏洞 利用信M披 诉阶段优先级 评估对所有系 统遇什？卜 ft漏洞 HMI AH WiM洞利用前发 一e r布补丁高，有了补丁可用之后，风险程度则会降低。潜伏IW图：4：漏洞生命周期终止攻击 和入侵M用后战M利M之让 验漏洞产生阶段（Creation）：漏洞尚未被发现或者利用，因此，该阶段安全漏洞无风险。,漏洞发现阶段(DiSCOVery)：当漏洞刚被发现时，对漏洞的挖掘和利用处于探索阶段，并且掌握漏洞信息的人员数量少，因此，该阶段漏洞风险较低。,漏洞公开阶段(DiSdoSUre)：由于漏洞处于公开但未提供补丁的状态,越来越多的潜在攻击者开始关注此安全漏洞。攻击方式也会发生改变，例如攻击由简单的代码供给转变为自动攻击工具，使低技能攻击者开始尝试漏洞利用，随时间推移，漏洞风险持续升高。漏洞评估阶段(ASSeSs)，随着攻击脚本的传播，更多的攻击者掌握了漏洞的利用方法，从整体上看，漏洞风险不断增长，达到高峰期。漏洞修复阶段(Patched)：随着补丁释放，安装用户增多，安全风险不断降低。由于不同漏洞的复杂度差别较大，对于未能提供补丁的漏洞，相关组织机构也会采取一些手段切断黑客漏洞利用的攻击链路。改善漏洞管理的步骤在网络安全领域的长期实战中，我们总结出了以下步躲来改善漏洞管理。 定期进行渗透测试 制定漏洞补丁时间计划表 进行细粒度的IT资产盘点 随时更新网络威胁情报 加强网络安全基础设施的管理定期进行渗透测试网络安全应优先考虑针对外部攻击的网络安全，主要是穿透网络。渗透测试在网络安全威胁管理是公认有效的手段。它通过检测和修复漏洞，确保企业的网络安全。通过渗透测试定期进行漏洞管理可以让组织机构详细地了解安全漏洞并采取相应的控制措施。有关渗透测试的详细信息，请参见青藤官网“资源下载中”的渗透测试提供商选型指南。制定漏洞补丁时间计划表组织机构需要定期进行软件更新，因为供应商的软件始终在不断迭代和改进。进行软件更新后，可以对抵御攻击者起到最佳作用。但在进行更新前，需要对更新版本进行测试，以免更新后出现问题。进行细粒度的IT资产盘点在对软件进行漏洞研究的同时，硬件也需要关注，不应该被遗忘。老旧的或被遗忘的硬件或程序很容易成为攻击者的目标。这类资产会成为企业的严重漏洞，因此，组织机构需要定期跟踪或清点软硬件资产。一青藤万相资产清点青藤万相可以通过设置检查规则，自动检查已安装探针主机，以及所在网络空间未纳入安全管理的主机，包括老旧的或被遗忘的服务器。此外，青藤万相的资产清点功能可根据用户需要，自定义时间周期，自动化构建细粒度资产信息，可对主机资产、应用资产、Web资产等进行全面清点，保证用户可实时掌握所有主机资产情况，包括Web.系统、进程、端口、账号、软件应用等。随时更新网络威胁情报随着网络威胁数量不断增长，组织机构掌握的威胁信息总是很少，因此，组织机构需要不断了解并识别最新威胁和漏洞。关注和跟踪潜在漏洞有助于组织机构改善网络安全状况，避免最新的威胁。加强网络安全基础设施的管理组织机构需要保持良好的网络安全实践，以改善基础设施的安全性。员工和工作人员应正确理解良好的网络安全实践，并按此行事。任何疏忽或不良实践都可能导致发生漏洞利用。因此，定期更新和适当的员工培训，有助于实现良好的网络安全实践。比快更快，比准更准的漏洞管理方案青藤万相风险发现功能致力于帮助用户精准发现内部风险，帮助安全团队快速定位问题并有效解决安全风险。通过风险发现，青藤万相能提供详细的资产信息、风险信息以供分析和响应，从而为客户提供以下三大核心价值：1 .准确的风险识别，白盒视角的风险发现比黑盒更准确。基于Agent的漏洞扫描，在准确性上拥有天然优势。传统漏扫产品对资产覆盖的深度和广度不足，导致检测准确率不高。2 .极大提升扫描效率，在复杂环境下依然能达到极高的效率。传统漏扫产品效率低，而基于Agent方式可快速完成全部扫描。因此，旦出现新的漏洞可在在很短时间内完成检测工作。3 .自动关联资产数据，定位相关负责人以及属于何种业务。在查到某机器上存在某个漏洞之后，可迅速知道谁负责这台机器。典型应用场景一：新高危漏洞的快速应急检测通过风险发现功能，可以快速进行响应，绝大部分漏洞都可通过资产识别直接定位，对于无法识别的漏洞可以通过编写检测脚本将其配置到检测系统中即可。例如，攻方团队利用了Weblogic反序列化漏洞、JBOSS远程代码执行漏洞、ApacheAxis远程命令执行漏洞等多个ODay漏洞进行攻击。2 。1 M 5 6 1 0 t9e1191 皿黑黑«*典型应用场景二：高危漏洞的补丁识别和关联当一个漏洞被精准定位后，风险发现功能能够关联分析这个漏洞相关的补丁。例如，风险发现通过CVE编号确认所有资产中有13台机器上存在Shellshock漏洞。青藤万相不仅提供详细补丁情况，还能够检测补丁修复后是否会影响其它业务。青藤通过识别应用，加载SO和进程本身确认是否被其它业务组件调用，来判断补丁修复是否会影响其它业务。因此，在高危漏洞爆发后，青藤万相能快速帮助客户进行补丁识别和关联，并确认打补丁后是否存在风险等总结由于漏洞自身性质决定了漏洞库更新永远不会有完结的一天,抓取的漏洞特征信息当然也不可能永远保持正确，因此，只能说漏洞样本在一定程度上帮助组织机构更好地防御风险。当然，若组织机构只依赖一个漏洞库来源，不管它有多权威，都可能会错过影响其系统的重要漏洞信息。此外，CVSS评分系统虽然能够提供一个相对参考评估，帮助了解和对比漏洞，以及漏洞严重程度，但这可能与现实情况有偏差，不同行业、不同企业IT设施都各不相同，因此面对同一个漏洞，影响面和危害面也会不一样。对此，企业应该按照漏洞管理最佳实践,逐步优化漏洞管理，提高漏洞管理效率。附录：2021年最常被利用的ToPI5漏洞在全球范围内来看，2021年，攻击者利用新披露的漏洞对面向互联网的系统发起攻击，如电子邮件服务器和VPN服务器。对于大多数被利用的漏洞，研究人员或其他人员在漏洞披露后的两周内发布了Poe代码，这也为更多的攻击者利用漏洞提供了便利。在较小的程度上来说，攻击者依然会利用公开的、过时的软件漏洞，其中包括一些2020年常被利用的漏洞。对原有漏洞的利用表明，若组织机构未能及时修补软件或使用不再受供应商支持的软件，他们仍会面临风险。2021年最常被利用的Topl5漏洞表1展示了2021年攻击者最常利用的TOPl5漏洞，其中包括： CVE-2021-44228o该漏洞也称为Log4Shell,会影响APaCheIog4j开源日志记录框架。攻击者可以通过向易受攻击的系统提交特制请求来利用此漏洞，从而导致该系统执行任意代码。这种特制请求可以让攻击者完全控制系统。然后，攻击者可以窃取信息、启动勒索软件或进行其他恶意活动。在全球范围内，有数千种产品采用了Log4ju该漏洞于2021年12月披露，随后迅速被广泛利用，这表明攻击者有能力快速将已知漏洞武器化，在组织机构打补丁之前发起攻击。 CVE-2021-26855>CVE-2021-26858、CVE-2021-26857、CVE-2021-27065。这些漏洞（称为ProxyLogon）会影响MicrosoftExchange电子邮件服务器。组合利用这些漏洞（即“漏洞利用链”）可以让未经身份验证的网络攻击者在易受攻击的Exchange服务器上执行任意代码，这反过来又使攻击者能够持久访问服务器上的文件和邮箱，以及存储在服务器上的凭据。通过漏洞利用，网络攻击者能够泄露在易受攻击的网络中的信任和身份信息。 CVE-2021-34523>CVE-2021-34473>CVE-2021-31207o这些漏洞（称为PrOXySheII）也会影响MicrosoftExchange电子邮件服务器。组合利用这些漏洞可以让远程攻击者能够执行任意代码。这些漏洞位于Microsoft客户端访问服务（CAS）中，该服务通常在MicosoftInternet信息服务（IIS）（例如Microsot的Web服务器）的端口443上运行。CAS通常暴露在互联网上，以便用户能够通过移动设备和Web浏览器访问他们的电子邮件。 CVE-2021-26084o该漏洞会影响AtlassianConfluenceServer和DataCenter,让未经身份验证的攻击者能够在易受攻击的系统上执行任意代码。在其PoC披露后的一周内，该漏洞迅速成为最常被利用的漏洞之一。2021年9月观察到有攻击者尝试大规模利用该漏洞的情况。在2021年最常被利用的Top15漏洞中，有三个漏洞是2020年常被利用的漏洞：CVE-2020-1472、CV-2018-13379和CVE-2019-115103这些漏洞连续两年位于最常被利用漏洞之列表明，许多组织机构未能及时修补软件，因而非常容易受到恶意网络攻击者的攻击。CVE漏洞名称厂商及产品类型CVE-202144228Log4ShellApacheLog4j远程代码执行(RCE)CVE-2021-40539ZohoManageEngineADSeIfServicePlusRCECVE-2021-34523ProxySheIIMicrosoftExchangeServer权限提升CVE-2021-34473ProxySheIIMicrosoftExchangeServerRCECVE-2021-31207ProxySheIIMicrosoftExchangeServer防御绕过CVE-2021-27065ProxyLogonMicrosoftExchangeServerRCECVE-2021-26858ProxyLogonMicrosoftExchangeServerRCECVE-2021-26857ProxyLogonMicrosoftExchangeServerRCECVE-2021-26855ProxyLogonMicrosoftExchangeServerRCECVE-2021-26084AtlassianConfluenceServerandDataCenter任意代码执行CVE-2021-21972VMwarevSphereClientRCECVE-2020-1472ZerOL密OnMicrosoftNetlogonRemoteProtocol(MS-NRPC)权限提升CVE-2020-0688MicrosoftExchangeServerRCECVE-2019-11510PulseSecurePulseConnectSecure读取任意文件CVE-2018-13379FortinetFortiOSandFortiProxy路径遍历表L2021年常被利用的Topl5漏洞除了表1所列的15个漏洞外，2021年，表2所列的漏洞也经常被恶意攻击者利用，其中包括影响面向互联网的系统的多个漏洞，例如ACCelliOn文件传输设备(FTA)、WindowsPrintSpooler和PulseSecurePulseConnectSecureo在这些漏洞中,有3个漏洞在2020年也经常被攻击者利用：CVE-2019-1978.CVE-2019-18935CVE-2017-11882oCVE厂商及产品类型CVE-2021-42237SitecoreXPRCECVE-2021-35464ForgeRockOpenAMserverRCECVE-2021-27104AccellionFTAOS命令执行CVE-2021-27103AccellionFTA服务器端请求伪造CVE-2021-27102AccellionFlAOS命令执行CVE-2021-27101AccellionFTASQL注入CVE-2021-21985VMwareVCenterServerRCECVE-2021-238SonicWaIISecureMobileAccess(SMA)RCECVE-2021-40444MicrosoftMSHTMLRCECVE-2021-34527MicrosoftWindowsPrintSpoolerRCECVE-2021-3156Sudo权限提升CVE-2021-27852CheckboxSurvey远程代码执行CVE-2021-22893PulseSecurePulseConnectSecure远程代码执行CVE-2021-216SonicWaIISSlVPNSMA1SQL命令转义不当，导致凭据访问CVE-2021-1675WindowsPrintSpoolerRCECVE-2020-2509QNAPQTSandQuTShero远程代码执行CVE-2019-19781CitrixApplicationDeliveryController(ADC)andGateway任意代码执行CVE-2019-18935ProgressTelerikUlforASP.NETAJAX命令执行CVE-2018-0171CiscoIOSSoftwareandIOSXESoftware远程代码执行CVE-2017-11882MicrosoftOfficeRCECVE-2017-0199MicrosoftOfficeRCE表22021年其他常被利用的漏洞漏洞缓解措施针对这些漏洞，常见的缓解措施如下所示。漏洞与配置管理 及时更新IT网络资产上的软件、操作系统、应用程序和固件。优先修补已知被利用的漏洞，特别是权威机构确定的CVE,然后是一些允许在面向互联网的设备上进行远程代码执行或拒绝服务的关键和高危漏洞。 如果不能快速给己知被利用的漏洞或关键漏洞打补丁，可以采用供应商提供的临时缓解措施。 使用一个集中的补丁管理系统。 替换过期的软件，即供应商不再提供支持的软件。例如，AccellionFTA已于2021年4月停止维护。 如果组织机构无法对面向互联网的系统进行快速扫描和打补丁，则应考虑将这些服务转移给成熟的、有信誉的云服务提供商（CSP）或其他托管服务提供商（MSP）。声誉良好的MSP可以为客户的应用程序打补丁，如网络邮件、文件存储、文件共享以及聊天和其他员工协作工具。然而，由于MSP和CSP扩大了客户组织的攻击面，并可能引入意料之外的风险，组织机构应积极主动地与MSP和CSP合作，共同降低这种风险。身份与访问管理 对所有用户执行多因素认证（MFA）,绝不存在例外情况。 在所有VPN连接执行MFA。如果MFA不可用，要求远程办公的员工使用强密码。 定期审查、验证或删除特权账户（至少每年一次）。 根据最小权限原则的概念配置访问控制。>确保软件服务账户只提供必要的权限（最小权限）来执行预定的功能（非管理权限）。防护性控制措施与架构正确配置和保护面向互联网的网络设备，禁用未使用或不必要的网络端口和协议，加密网络流量，并禁用未使用的网络服务和设备。> 加固通常被利用的企业网络服务，包括UMN协议、远程桌面协议（RDP）.通用互联网文件系统（CIFS）活动目录和OPenLDAP。> 管理WindoWS密钥分发中心（KDe）账户（如KRBTGT）,尽量减少黄金票据攻击和Kerberoasting攻击。> 严格控制本地脚本应用程序的使用，如命令行、PowerSheIKWinRM>WMI和DCOM, 进行网络分段，控制对应用程序、设备和数据库的访问，限制或阻止横向移动。使用私人VLAN。 持续监控攻击面，调查可能表明威胁行为者或恶意软件横向移动的异常活动。使用安全工具，如EDR以及SlEM。考虑使用信息技术资产管理（ITAM）解决方案,以确保EDR、SIEM,漏洞扫描器等报告的资产数量相同。>监测环境中潜在的垃圾程序。 减少构建第三方应用程序和特定系统/应用程序；只有在需要支持业务关键功能时才能这样做。 实施应用程序白名单。O青藤云安全让安全之光照亮数字世界的每一个角落服务热线:400-188-9287官网：WWW总部地址:北京市海淀区创业路8号群英科技园1号楼5层&6层