2017-2018年漏洞Loophole态势分析报告,2,2017 年度安全报告漏洞势态漏 洞 是 评 判 网 络 安 全 情 况 的 一 个 重 要 指 标，XX对 2017 年披露的漏洞进行统计分析。2017 年漏洞一共披露了 15120 枚，其中低危漏洞 1576 枚，中危 9138 枚，高危 4406 枚。覆盖1444 家厂商或组织近 4 千种产品，累计影响多达13 多万个版本。对漏洞种类进行归纳统计，其中 Buffer Errors 所占比例高达 16.66%，缓冲区相关漏洞存在于各种操作系统，应用程序中；可以导致拒绝服务，权限提升，代码执行等。不正确得访问控制占到 9.88%，攻击者可以通过该类型漏洞实现权限提升，读取敏感信息，代码执行，逃避验证等。之后跨站脚本攻击（XSS），信息泄露，输入验证，SQL 注入等各占 9.41%，9.09%，6.31% 和 2.66%。,2017 年度安全报告漏洞势态,3,同时对漏洞效果进行归纳统计，作为补充：,可以看到，每年的漏洞趋势大致相同，在 1，4，7，10 月会有高峰。,难道是因为安全研究人员为了季度和年度的 KPI 导致的？将时间拉长，看一下近十年的漏洞情况：,4,2017 年度安全报告漏洞势态2017 年披露的漏洞数量较往年有明显上升的趋势，2017 年网络安全形势严峻，漏洞披露数量环比上升120%，数据细化如右图。对季度数据进行统计，2014 年第 4 季度有一个高峰，此外之前的三年趋势都是相对平稳的。近几年，世界范围内都加大了网络安全投入，安全人员基数增多，伴随着的漏洞披露增多，这是必然的。2013 年 到 2017 年， 高 危 漏 洞 所 占 比 例 分 别 为33.5%，24.2%，37.1%，38.3% 和 29.4%。2014年漏洞披露数量增多，集中在5-6分段，而2017年，4-8 分数段漏洞数量整体拉升，相比之下，高危漏洞增长并不明显，占比有所下滑。从增长分布来看，有价值的漏洞还是比较难挖掘的。2017 年漏洞数量上升，需要警惕，但也不用过度恐慌。,2017 年度安全报告漏洞势态漏洞不断挖掘，曝光和修复可以很大程度上提升系统的安全性，但是如果不能及时修复，会失去攻防大战的先机，处于被动的地位。2018 年 1 月份漏洞披露数量已达到历年新高，我们相信 2018 年的网络安全形势依旧严峻。关于 XXXX全称“XX Computer Emergency Readiness Team”，我们致力于维护计算机网络空间安全，是 XX 公司基于“协同联动， 主动发现， 快速响应”,THANKS,