Aggregator

Google Mandiant 安全分析师表示，在 2023 年披露的 138 个被积极利用的漏洞中，有 97 个（70.3%）被用作零日漏洞。

这意味着威胁者在受影响的供应商知道错误存在或能够修补它们之前，就已经利用了攻击中的缺陷。

从 2020 年到 2022 年，已修复漏洞与无可用修复漏洞之间的比率相对稳定地保持在 4:6，但在 2023 年，该比率转变为 3:7。

谷歌解释说，这并不是因为自然利用的已修复漏洞数量减少，而是因为零日漏洞利用的增加以及安全供应商检测它的能力的提高。

恶意活动的增加和目标产品的多样化也反映在受主动利用的漏洞影响的供应商数量上，该数量已从 2022 年的 44 家增加到 2023 年创纪录的 56 家，也高于 2021 年 48 家供应商的先前记录。

Mandiant 调查结果概述

响应时间越来越紧

另一个重要趋势是利用新披露的漏洞所需的时间现已降至五天。

相比之下，2018-2019 年，时间为 63 天，2021-2022 年，为 32 天。这为系统管理员提供了充足的时间来计划补丁的应用或实施缓解措施以保护受影响的系统。

随着时间降至 5 天，网络分段、实时检测和紧急补丁优先级等策略变得更加重要。与此相关的是，Google 并未发现漏洞披露与时间之间存在关联。

到 2023 年，75% 的漏洞利用在开始大规模利用之前就已公开，25% 的漏洞利用是在黑客利用这些漏洞后发布的。

报告中强调的两个示例 CVE-2023-28121（WordPress 插件）和 CVE-2023-27997（Fortinet FortiOS）表明公共漏洞利用可用性与恶意活动之间没有一致的关系。

两个漏洞的利用时间表

在第一个案例中，漏洞利用是在披露三个月后、概念验证发布十天后开始的。

FortiOS 案例中，该漏洞几乎立即在公开利用中被武器化，但第一个恶意利用事件是在四个月后记录的。谷歌表示，利用难度、威胁者动机、目标价值和总体攻击复杂性都在发挥作用，并且与 PoC 可用性的直接或孤立关联是有问题的。

10月18日，以“合规赋能 数智未来”为主题的2024第三届SCIC网络安全合规创新大会在北京成功举办。大会由中国信息协会信息安全专业委员会主办，长春嘉诚信息技术股份有限公司承办，华易数安科技（吉林省）有限公司、北京赛博英杰科技有限公司、北京数字世界咨询有限公司支持，邀请政府部门、科研机构和行业领军企业的领导与专家出席大会，共话安全合规创新，赋能数智未来！

本届大会深入解读了 2024 年网络安全领域重大政策法规；围绕数据合规数据赋能、供应链安全、大模型网络安全等领域的最新合规要求，结合数字经济和人工智能的发展趋势，从政策法规、标准技术、应用方案等多方面展开深度交流与探讨。

会议现场

公安部网络安全等级保护评估中心副主任沙淼淼在致辞中指出，当前网络安全合规面临着前所未有的挑战，希望通过本次大会深入探讨创新工作，为数字经济的健康发展保驾护航。国家信息中心信息与网络安全部处长刘蓓回顾了“网络强国战略目标”的十年历程，并强调了网络安全法规制度、技术创新和产业协同机制的重要性，表示国家信息中心网络安全部愿与各界同仁紧密合作，共同推动网络强国和数字中国建设。

中国信息协会信息安全专业委员会常务副主任陈晓桦在致辞中解读了大会主题，强调了网络安全合规的重要性，并指出网络安全产业的发展直接关系到国家网络空间保障能力的建设，呼吁与会嘉宾携手共进，共同构建一个更加安全、智能的数字世界。大会由中国信息协会信息安全专业委员会副主任郭森主持。

公安部网络安全等级保护评估中心副主任 沙淼淼

国家信息中心信息与网络安全部处长 刘蓓

中国信息协会信息安全专业委员会常务副主任 陈晓桦

中国信息协会信息安全专业委员会副主任 郭森

北京邮电大学人工智能法律研究中心主任崔聪聪对《网络数据安全管理条例》进行解读，分析了条例的制定背景、主要内容及实施意义。《网络数据安全管理条例》自2025年1月1日起施行，崔主任就个人信息、重要数据、平台责任，围绕总则和一般规定做详细展开，帮助客户及时了解最新的政策要求，确保业务的合规性与安全性。

北京邮电大学人工智能法律研究中心主任 崔聪聪

公安部第三研究所网络安全法律研究中心副研究员、副主任何治乐对2024年网络安全领域重大政策法规进行梳理，分享了重要监管部门的监管实践。主要围绕2024年立法进展、国家监管部门主要的执法动向以及未来趋势展望三个部分展开。通过这些分享，帮助客户更清晰地理解政策背后的监管逻辑，以及如何在实际操作中落实这些要求。

公安部第三研究所网络安全法律研究中心副研究员、副主任 何治乐

国家信息中心信息与网络安全部数据安全处处长魏连发表题为《政府数据治理与数据安全合规司法实践》的演讲。详细阐述了在政府数据治理和数据安全合规方面的司法实践。介绍了数据安全合规保障的一系列解决方案。在新的法规执行的过程中，结合已有的传统技术、电子司法鉴定的技术，让数据更好地流动起来，赋能我国数字经济社会的发展。

国家信息中心信息与网络安全部数据安全处处长 魏连

公安部网络安全等级保护评估中心副研究员曲洁发表题为《关键信息基础设施供应链安全》的演讲。从具体事件的回顾和分析入手，指出当前供应链安全所面临的挑战。同时提出了关键信息基础设施的供应链安全需求、特点，从未来供应链安全的方向提出了建议，帮助政企单位加强供应链安全管理措施及实践，保障国家和企业安全。

公安部网络安全等级保护评估中心业务实施部主任 曲洁

长春嘉诚信息技术股份有限公司副总裁李忆平发表题为《智慧安全服务未来发展探索与交流》的主旨演讲，就安全的现状做详细分析，安全服务如何应对当前新的安全威胁和安全形势，如何实现合规性的突破，安全能力如何以实战促提升等方面做了深入探讨。列举了管理智能化云化以及人力不足、攻防对抗等方面面临的挑战。李总还分享了目前在人工智能赋能合规检测、安全能力提升、可实时性的对抗平衡方面的实践经验与赋能成效。在大模型如何形成更智能的安全服务方面，列举了智能化的检测，流程化的处置，可视化的监测，阐述了下一代安全服务的发展趋势，引发与会者的广泛共鸣和深入思考。

长春嘉诚信息技术股份有限公司副总裁 李忆平

中国电信天翼安全公司事业部副总经理路雪涛发表题为《中国电信网络安全能力池应用与实践》的演讲，包括安全合规政策法规的驱动，安全建设面临的困境与思考，安全能力池的解决方案和差异化优势等方面内容进行详细介绍，分享了如何发挥中国电信的独特优势，为其政企客户提供更多按需的、符合现状的安全服务。

中国电信天翼安全公司事业部副总经理 路雪涛

北京赛博英杰科技有限公司高级分析师宋圣发表题为《AI赋能网络安全》的演讲。详细阐述了网络安全防御所面临的挑战和痛点，以及未来希望AI所能带来的相关成效。介绍了AI在网络安全领域发展的历史以及现状，生成式AI在网络安全领域的赋能和建议，这些内容为网络安全建设带来新的思考和启发。

北京赛博英杰科技有限公司高级分析师 宋圣

火山引擎大模型安全产品与解决方案负责人林泽韬发表题为《大模型安全挑战与防护实践》的演讲，围绕大模型的安全风险与挑战、解决方案和落地实践一一展开。具体包括大模型安全测评服务，大模型安全防火墙，大模型安全脱敏，大模型训练数据清洗，客户端风险检测，大模型安全培训等。

火山引擎大模型安全产品与解决方案负责人 林泽韬

作为推动网络安全合规建设融合创新的重要活动，SCIC网络安全合规创新大会如今已连续举办三届，其旨在建立一个开放性、发展性、前瞻性的安全合规创新交流平台，持续跟进网络安全最新法律法规、标准要求，关注新趋势、新技术、新场景对网络安全合规工作的新要求、新演进；分享网络安全合规体系建设经验。希望在未来的工作中，更多安全从业者将以本次大会为契机，进一步加强合作与交流，共同推动网络安全合规建设的持续发展和创新。