奇安信发布2021漏洞态势报告：重点漏洞数量急剧涨

亦同，纳安信CERT年末对外发布了《2021年度防火墙态势观察年度报告》（简称《年度报告》），围绕防火墙追踪、防火墙分析与有无、防火墙情报利用、防火墙高风险处置等全面性描绘出过去一年拟于防火墙态势。

急剧上涨150%，防火墙管理几多恨

《年度报告》说明了，2021年纳安信CERT另行收录防火墙信息21664个（其中20206条有效防火墙信息在NOX确保追踪网络服务上说明了），经NOX确保追踪网络服务筛选后有14544个敏感防火墙信息系统会人工有无，其中2124个防火墙阻碍较大，系统会了纳安信CERT的应急声势浩大流程。据纳安信CERT组长汪列军介绍，比起于2020年，系统会应急声势浩大流程的防火墙使用量增长了150%以上。

融合CVSS评价标准以及防火墙造成的实质阻碍，纳安信CERT将防火墙定级分为极危、高危、中危、低危四种一般来说，低危防火墙借助极其有用或对可用性、机密性、连贯性造成的阻碍很低；中危防火墙的阻碍介于高危防火墙与低危防火墙中间；高危防火墙相当本质可能造成较严重的阻碍或攻击效率很低；极危防火墙无需有用的技术潜能就可以借助，并且对机密性、连贯性和可用性的阻碍极高。在纳安信CERT近期有无过的2124条防火墙中，低危防火墙占去比17.43%，中危防火墙占去比31.60%，高危防火墙占去比50.35%，极危防火墙占去比0.62%。

按照防火墙类型来看，其中防火墙使用量占去比高于的五种类型分别为：代码执行、信息窃取、权限提升、拒绝服务、内存破损。比起而言，这些类型的防火墙一般而言很较易被发掘出、借助，并且可以让破解完全接管系统、盗取至少据或阻扰应用于程序代码，因而不具备很高的危险性，是确保从业工作人员的中长期关注实例。2021年12月爆发的Apache Log4j2防火墙即归属于代码执行防火墙，并且几乎不需要任何交互系统设计，即可远程执行假定代码，阻碍范围极广，危害性相当本质。

另外或多或少的是，在2021 年纳安信CERT防火墙努另行增的21,664个防火墙中，实际上Exploit（防火墙借助代码或者辅助工具）的防火墙使用量为4,779个（占去防火墙据统计的22.06%）、有在野党借助防火墙使用量为337个，0day防火墙使用量为23个、APT相关防火墙使用量为88个。

基于防火墙情报的闭环运营众所周知

“尽管实际上近似于 Exploit（防火墙借助代码或辅助工具）的防火墙占去到了总防火墙至少的22.06%，但其中的大部分并未追踪到实质借助的遭遇。”汪列军说，《年度报告》说明了，从官方网站信息来看，实质实际上野外借助的防火墙，仅占去防火墙据统计的 1 %~2 %左右。防火墙应该真的被借助，还取决于防火墙的可达性、借助条件和危害本质。

其次，尽管美国国家防火墙努（NVD）会给出防火墙评分（CVSS，0-10分，多半分至少越高就越严重），由于多种技术本质以外各种因素的阻碍，相同CVSS评分的防火墙所能避免实质确保高风险多半天差地别。正因如此 CVSS3 10分的防火墙，就仅在易用性稳定性上的歧异，就会使Apache Log4j2这样顶级防火墙与其他正因如此 10 分防火墙在实质严重威胁上判若云泥。

第三，“明星防火墙”实际上很强的聚光灯不稳定性，必然引起确保工作人员的尤其关注。因此，当某个软件浮现关键性防火墙时，应用于程序或者其相关产品很较易年终曝光多个防火墙。如：Apache Log4j年终被曝 4个防火墙、Microsoft Exchange Server在被曝出ProxyLogon 防火墙之后又浮现了ProxyShel 等防火墙。但是，由于明星防火墙衍生出来的另行防火墙大均值未必有同等的严重威胁和阻碍面，需要防火墙情报分析运营的团队进行熟悉的有无确认其显然的严重威胁。

从这些某种程度来看，面对着日益严峻的防火墙严重威胁态势，相当一部分防火墙并不会对的组织造成实质危害，确保工作人员也并非“无迹可寻”，而是可以基于防火墙情报，确认防火墙对于高风险的阻碍，完成防火墙管控优先级加权，削减的组织攻击面，从而持久事半功倍的优点。