2019年Q3季度漏洞观察报告.pdf

/QuarterlyVulnerabilityObservationReport季度漏洞观察报告季度漏洞观察报告gid00038 gid00012gid00038 gid00012前言 PREFACE012019年第三季度，全球范围内共发生Web攻击约11.55亿次，其中约9.68%指向我国境内。02两个国家级漏洞库的漏洞采集数量均超过5000个，较上季度有所上升。本期报告发现：03企业存在的高危Web漏洞中，弱口令占比最大，约为26.90%。越权漏洞和SQL注入漏洞数量次之，占比均超过10%。04iOS漏洞中的高危比例升高，原因之一是URL Scheme接口漏洞危害升级。05银行、证券、保险企业在Web层面临的主要安全风险有所区别。弱口令在银行业中相对多发，业务逻辑漏洞在证券业中占比更大，而运维不当则是保险业最为高频的问题类型。安全是一个长期、动态的博弈过程，谋求改进则是攻守双方永恒的主题。漏洞挖掘、技术演进、策略升级每天都在发生，因此企业安全建设者需要时常了解外界环境，审视内部需求，然后才能形成当前场景下最适配的决策。许多组织采纳防火墙、流量分析、态势感知、主机防护等各种各样的监控防御设备，希望达成多位一体的纵深防御效果。万事“佩奇”的时候，一个有意思的现象出现了：弱口令成为了本季度高危web漏洞中占比最大的类型。人，依旧是防御体系中的变数。不安全的开发框架、中间件、第三方JAR包，疏于管理的内部上传接口，被忽视的废弃、老旧、测试资产，这些导致网络边界被突破的原因背后，往往是人的盲区。如何了解最新的企业安全现状，看到更多风险点？本期长亭科技季度漏洞观察报告继续从漏洞出发，以金融、互联网、能源等多个行业百余家企业为研究对象，向读者展现季度安全特征，希望借此帮助有效安全策略的形成。三季度全球Web攻击概览 031/1 Web攻击总数 041/2 高频攻击方法 041/3 目标地域分布 05三季度国家漏洞收录 062/1 漏洞危害评级 072/2 影响对象分布 072/3 漏洞类型分布 08三季度漏洞威胁分析 093/1 全行业Web漏洞 103/2 全行业客户端漏洞 143/3 金融行业聚焦 17三季度安全事件选评 204/1 数据管理 214/2 攻击事件 214/3 产品漏洞 224/4 行业监管 23CONTENTS01020304目录01Visualization ofWeb Attacks三季度全球Web攻击概览三季度全球Web攻击概览1/1 Web攻击总数2019年第三季度，全球范围内共发生Web攻击约11.55亿次，日均1.26千万次。其中，单日攻击数量在8月21日达到季度最高点，约为3.15千万次；在8月17日处于季度最低点，约为0.52千万次。在进行Web攻击时，SQL注入依然是最常被采用的手段，采用此类方法的攻击数量占比为90.43%。跨站脚本、远程文件包含处于第二、三位。数据来源：Akamai数据来源：Akamai图2 高频攻击方法分布图1 每日攻击数量与趋势季度漏洞观察报告Quarterly Vulnerability Observation Report04远程文件包含跨站脚本攻击SQL注入命令注入PHP注入104416509760159502442671313435357258797950000001000000015000000200000002500000007月1日 9月30日1/2 高频攻击方法3000000035000000季度漏洞观察报告Quarterly Vulnerability Observation Report05美国是本季度遭受最多Web攻击的国家，累计次数约为2.08亿，占到了全球总数的17.99%。俄罗斯、中国、荷兰、印度分列二至五位，上述五个国家合计接受了约半数来自全球各地的Web攻击。具体，我国受到的Web攻击约为1.12亿次，占全球总量的9.68%。数据来源：Akamai图3 攻击目标全球分布1/3 目标地域分布美国俄罗斯荷兰中国其他国家或地区印度3.44%50.91%5.71%9.68%12.27%17.99%02Overview of Vulnerabilities三季度国家漏洞收录三季度国家漏洞收录2019年第三季度，国家级漏洞库采集安全漏洞均超过5000个，较上季度有所上升。具体，国家信息安全漏洞库（以下简称CNNVD）共采集5311个，国家信息安全漏洞共享平台（以下简称CNVD）共收集整理5378个。CNNVD采集的新增漏洞中，超危漏洞占比11.01%，高危漏洞占比30.60%，中危漏洞占比54.94%，低危漏洞占比3.45%；其中，合计4317个漏洞已有修复补丁发布，整体修复率达81.28%。CNVD收集整理的信息安全漏洞中，高危漏洞占比29.30%，中危漏洞占比60.69%，低危漏洞占比10.01%；上述漏洞中，可被利用实施远程网络攻击的漏洞共4706个，占漏洞总数的87.50%。季度漏洞观察报告Quarterly Vulnerability Observation Report07数据来源：CNVD漏洞信息月度通报图4 漏洞影响对象分布1.数据来源：此数据与后续相关数据均摘自CNNVD信息安全漏洞月通报。2.数据来源：此数据与后续相关数据均摘自CNVD漏洞信息月度通报。2/1 漏洞危害评级2/2 影响对象分布CNVD统计的全部漏洞中，应用程序漏洞数量依旧最多，比例达57.20%；Web应用漏洞数量次之，占比24.71%；操作系统漏洞数量位列第三，占比8.57%。12应用程序Web应用操作系统智能设备数据库安全产品网络设备57.20%1.00%1.01%5.15%2.36%24.71%8.57%季度漏洞观察报告Quarterly Vulnerability Observation Report08据CNNVD发布的类型统计，本季度新增跨站脚本类漏洞最多，比例约为15.93%；缓冲区错误类漏洞数量次之，占比11.56%。此外，输入验证错误与信息泄露类漏洞数量也较多，占比分别为9.51%与8.55%。图5所列各类型漏洞合计占本季度新增漏洞总数的71.04%。数据来源：CNNVD信息安全漏洞月通报图5 漏洞类型分布2/3 漏洞类型分布跨站脚本缓冲区错误输入验证错误信息泄露访问控制错误代码问题资源管理错误846614505454284258225跨站请求伪造 215SQL注入 201授权问题 17103Facing Security Threats三季度漏洞威胁分析三季度漏洞威胁分析