2024上半年网络安全漏洞态势报告.docx

2024MIDYEARCYBERSECURITYVULNERABILITYTRENDS

2024MIDYEARCYBERSECURITYVULNERABILITYTRENDSREPORT

引言

近年来，网络空间安全的战略地位不断提升，网络安全漏洞作为威胁网络安全的根本性因素之一，其重要性日益凸显。随着新兴技术的不断发展，网络架构日益复杂，系统间的互联互通更加紧密，使得网络安全漏洞的形态和利用手段不断演变。在此背景下，深入了解网络安全漏洞的发展态势，把握其演变规律，对于提升网络安全防护能力、构建安全可信的网络环境具有重要意义。

本报告旨在通过网络安全漏洞总体视角，分析漏洞发展态势与流行利用趋势；根据国内外开源软件漏洞发展现状，分析当前开源软件漏洞威胁态势和治理成效;从实际攻防场景出发，分析漏洞利用新趋势。与此同时，随着人工智能技术的快速发展，也为漏洞利用带了新的变化。本报告围绕以上内容开展分析，希望能够为网络安全行业提供有价值的参考，与全行业共同应对日益严峻的网络安全挑战。

摘要

修复投入更多精力。预计年底收录漏洞数将突破三万个，这预示着今年的网络安全工作不能放松警惕，需要对安全漏洞的防御和2024年漏洞发现和披露速度再次加快，2024年上半年披露漏洞20548个，与23年同期相比增长46.16%。其中接近50%被用于执行间谍活动。体占比呈下降趋势；第三方组件的0day漏洞利用量呈上升趋势；针对移动设备的0day漏洞利用手段升级，2024年全球漏洞利用的产品分布方面，操作系统和浏览器0day漏洞数量最多，其中浏览器0day漏洞量整

修复投入更多精力。

预计年底收录漏洞数将突破三万个，这预示着今年的网络安全工作不能放松警惕，需要对安全漏洞的防御和

2024年漏洞发现和披露速度再次加快，2024年上半年披露漏洞20548个，与23年同期相比增长46.16%。

其中接近50%被用于执行间谍活动。

体占比呈下降趋势；第三方组件的0day漏洞利用量呈上升趋势；针对移动设备的0day漏洞利用手段升级，

2024年全球漏洞利用的产品分布方面，操作系统和浏览器0day漏洞数量最多，其中浏览器0day漏洞量整

比以往攻击更具隐蔽性。其中逻辑类漏洞主要包括业务接口漏洞、认证绕过、账密找回、越权访问等类型。

2024年典型攻防场景中，以利用逻辑类0day漏洞和传输加密类0day漏洞为主，攻击者以此来隐藏攻击特征，

式转变。这一变化与攻防活动周期拉长有较大关系，也与目标范围逐年扩大存在一定关系。

2024年典型攻防场景中，漏洞利用方式从战前储备0day漏洞逐渐向战前储备和后期新挖掘0day为主的方

化合作趋势，建立“政产学研用”一体化协同共治体系，鼓励开源界先试先行。

洞引发的软件供应链安全风险。我国应加快开源软件漏洞治理步伐，抓住市场、人才、技术发展机遇与国际

2024年上半年，披露开源软件漏洞3618个，高危及以上占比超40%。今年仍然需要重点关注由开源软件漏

能结合SSVC决策树模型，能够快速推理决策出需要优先处置的漏洞。

法和AIAgent模式0day漏洞归因定性，可以实现自动化0day猎捕。在漏洞优先级排序(VPT)上，人工智

2024年人工智能已成熟落地应用于未知漏洞猎捕和漏洞优先级排序中。在未知漏洞猎捕方面，基于相似度算

目

目CON录TENTS

引言摘要

安全漏洞总体态势 01

漏洞公开披露情况 01

漏洞利用情况 02

攻防场景漏洞利用趋势070day漏洞利用情况 05

攻防场景漏洞利用趋势

07

攻防场景下的0day利用情况 07

攻防场景下的Nday利用情况 09

开源软件漏洞态势12攻防场景下的漏洞利用路径 11

开源软件漏洞态势

12

开源软件漏洞威胁态势 12

开源软件漏洞的影响 15

国外开源软件漏洞治理工作与成效 16

人工智能技术对安全漏洞的影响18我国开源软件漏洞治理挑战与机遇 17

人工智能技术对安全漏洞的影响

18

人工智能技术发展过程对安全漏洞利用的影响 18

人工智能产品自身存在的安全漏洞风险 20

安全漏洞发展趋势总结与应对措施24人工智能技术为安全漏洞防御力提升赋能 23

安全漏洞发展趋势总结与应对措施

24

安全漏洞发展趋势总结 24

开源软件漏洞治理措施建议 25

攻防场景下安全漏洞治理措施建议 26

人工智能场景下安全漏洞治理措施建议 27

附录参考链接

附录参考链接

28

安全漏洞总体态势

安全漏洞总体态势

漏洞公开披露情况

漏洞公开披露情况

2014年至2024年，我国国家信息安全漏洞库（CNNVD）和美国国家漏