作為網絡安全領域的領導者，天融信一直致力于推動網絡安全技術的發展和應用，并通過不斷的探索和實踐為客戶提供全方位的網絡安全服務。為了更好地了解網絡空間安全漏洞的發展趨勢，并采取適當的措施應對漏洞威脅，特發布《2022年網絡空間安全漏洞分析研究報告》，在這份報告中，我們將通過實際案例和數據分析，為廣大客戶和讀者提供有價值的信息。

據CNVD公開數據顯示，2021年共披露漏洞26558枚，2022年共披露漏洞23900枚，同比降低10%。這可能表明，在過去一年里，安全運維人員加強了對系統安全的管理，降低了漏洞數量。其中，低危漏洞占11.13%，中危漏洞占53.82%，高危漏洞占35.05%。相對于低危漏洞，中危和高危漏洞所占比重偏高，這需要安全運維人員提高警惕，加強對中高危漏洞的控制。

報告從「2022年度漏洞趨勢概況」、「2022年度高危漏洞預警情況概述」、「2022年度總結及展望」三大部分，探究漏洞威脅的現狀及發展趨勢，為廣大企事業客戶、安全運維人員等應對漏洞威脅提供指導。

2022年度漏洞趨勢概況

1、CNVD漏洞庫安全漏洞概況

漏洞的統計與評判是評估網絡安全情況的一個重要指標，天融信阿爾法實驗室參考CNVD漏洞數據庫數據，從「漏洞威脅等級統計」、「漏洞利用攻擊位置統計」、「漏洞影響對象類型統計」、「漏洞產生原因統計」、「漏洞引發威脅統計」、「漏洞增長趨勢」，對 2022 年披露的漏洞進行了全方位的統計分析。

數據來源：CNVD

2、CVE漏洞庫安全漏洞概況

通過對CVE在2022年公布的漏洞按CVSS評分高低進行排序，天融信篩選了CVSS基本評分最高的前100個漏洞進行統計分析。此次統計分析主要從 「漏洞所影響廠商」、「影響平臺」、「攻擊途徑」、「披露時間」、「漏洞類型」以及「POC公開情況」等6個方面展開，并選取整理了CWE TOP 25排名。

數據來源：CVE

根據 MITRE對 國家漏洞數據庫中37000項公開可用的數據調研，分析得出的CWE TOP 25排名如下：

數據來源：CWE

2022年度高危漏洞預警情況概述

2022年，天融信阿爾法實驗室共監測發現各類漏洞信息45627條，經過漏洞監測系統自動智能篩選后留存高危漏洞信息 365條，進一步經人工研判后發布高危漏洞風險提示通告 62條。統計結果顯示，由漏洞引發的安全威脅涉及眾多廠商的軟件產品，主流操作系統是漏洞高發產品。2022年針對Microsoft廠商漏洞預警次數達15次，其中Windows系統的漏洞占大多數。OpenSSL、VMware等關鍵基礎設施漏洞也是受關注度較高的方向。

2022年預警的漏洞中，代碼執行類漏洞占比最高，達到71%。這一類漏洞也是高級可持續性攻擊的重要方向和攻擊武器，攻擊者利用這類漏洞可以遠程執行任意代碼或者指令，有些漏洞甚至無需用戶交互即可達到遠程代碼執行的效果，對目標網絡和信息系統造成嚴重影響。此次統計分析主要從「漏洞預警廠商情況」、「漏洞威脅情況」2個方面展開。

數據來源：天融信年度漏洞預警

年度TOP10高危漏洞

2022年度總結及展望

2022年網絡空間安全漏洞分析研究報告顯示，CNVD披露的漏洞數量呈現下降趨勢，可見技術發展、相關政策法規的完善和安全機制的建立在漏洞治理方面發揮了重要作用。漏洞依然集中在傳統廠商的設備和產品中，遠程代碼執行漏洞、SQL注入漏洞、命令注入漏洞是當前網絡安全形勢最為嚴峻的威脅，Windows系統漏洞和遠程代碼執行漏洞最多，OpenSSL和VMware也出現其中，任何一類漏洞都有可能造成蠕蟲病毒傳播事件或者勒索事件的爆發，用戶應加強安全防護措施。

對于仍舊存在的各種漏洞事件，建議企業、組織加強安全技術研究和投入，建立完善的安全防護體系； 定期開展安全培訓，提升人員安全意識； 分類處置安全漏洞，及時妥善處理內部安全隱患；完善漏洞管理措施，具備清晰、體系化的漏洞管理思路。通過以上措施能夠有效發現和堵塞漏洞，并減少因網絡空間安全漏洞導致的各類威脅。

隨著軟件復雜度的持續走高，以及企業和開發者對安全的重視程度增加，最終的漏洞數量可能會呈現下降趨勢。然而Windows、Linux、Mac等主流操作系統的漏洞數量可能不會降低，尤其是Microsoft Exchange Server和瀏覽器的漏洞數量會有所增加，API安全將持續成為網絡空間安全的一大威脅。攻擊者可能會利用人工智能和其分支機器學習技術來發現并利用漏洞，并且會更加關注云環境漏洞利用和物聯網設備缺陷挖掘。為了保護國家信息基礎設施不受惡意攻擊，政府和監管機構可能會出臺更嚴格的軟件安全法規。因此客戶應加強攻擊面管理，及時發現和修復漏洞，并做好威脅檢測和響應，以便在攻擊者得逞之前及時采取應對措施阻止攻擊威脅。

多年來，天融信積極發揮自身在監測預警與應急服務領域的優勢，全面掌握漏洞動態，堅持安全漏洞管理技術探索與實踐。通過多維度數據采集分析、敏感信息及時預警，持續深入信息安全領域的監測與應急工作，及時監測網絡空間的漏洞動態，提供快速的監測與預警服務。天融信還不斷強化云端情報融合、安全防護設備聯動、云環境下的IT資產安全管理等能力，將云上能力賦能本地，結合云端7×24小時在線研判，幫助各類客戶構建涵蓋檢測發現、分析研判、情報預警、響應處置、持續監控的完整資產安全管理體系，助力客戶的數字化轉型發展更加安全高效，為數字經濟高質量發展保駕護航。

TOPSEC

作為中國先進的網絡安全、大數據與云服務提供商，天融信始終以捍衛國家網絡空間安全為己任，創新超越，持續為客戶構建更加完善的網絡安全防御能力，為國家網絡安全整體能力建設服務，為實施網絡強國戰略貢獻企業力量。