網(wǎng)絡(luò)安全領(lǐng)域近日迎來了一份引人關(guān)注的報(bào)告，由知名安全解決方案提供商BeyondTrust于4月15日正式發(fā)布。該報(bào)告揭示了2024年微軟產(chǎn)品中的漏洞情況，數(shù)量達(dá)到了驚人的1360個(gè)，相比2022年的1292個(gè)，增幅達(dá)到了11%。

報(bào)告中詳細(xì)分析了各類漏洞的分布與特點(diǎn)。其中，權(quán)限提升（EoP）漏洞占比高達(dá)40%，成為了攻擊者最為偏愛的攻擊手段。這一數(shù)據(jù)凸顯了攻擊者對(duì)于權(quán)限的極度渴望，通過提升權(quán)限，他們能夠輕松地在網(wǎng)絡(luò)中橫向移動(dòng)，進(jìn)而訪問并控制關(guān)鍵系統(tǒng)。安全功能繞過漏洞的數(shù)量也顯著增長(zhǎng)，從2023年的56個(gè)激增到2024年的90個(gè)，漲幅高達(dá)60%。

特別微軟Edge瀏覽器在2024年的漏洞總數(shù)達(dá)到了292個(gè)，與上一年度相比增長(zhǎng)了17%。更為嚴(yán)重的是，這292個(gè)漏洞中包含了9個(gè)關(guān)鍵漏洞，而2022年這一數(shù)字還為零。這一變化無疑為使用Edge瀏覽器的用戶帶來了更大的安全風(fēng)險(xiǎn)。

面對(duì)這一嚴(yán)峻形勢(shì)，BeyondTrust在報(bào)告中提出了對(duì)微軟的建議。報(bào)告認(rèn)為，微軟需要在軟件設(shè)計(jì)階段就加強(qiáng)安全編碼和威脅建模，從源頭上減少漏洞的產(chǎn)生。這一建議直指微軟產(chǎn)品安全的根本，強(qiáng)調(diào)了在設(shè)計(jì)階段就融入安全理念的重要性。

然而，盡管挑戰(zhàn)重重，微軟生態(tài)系統(tǒng)的整體安全狀況仍表現(xiàn)出一定的積極趨勢(shì)。報(bào)告顯示，2024年微軟關(guān)鍵漏洞的數(shù)量持續(xù)下降，這在一定程度上反映了微軟在安全舉措和現(xiàn)代操作系統(tǒng)安全架構(gòu)方面的改進(jìn)成效。同時(shí)，微軟Azure和Dynamics 365的漏洞數(shù)量也趨于穩(wěn)定，漏洞增長(zhǎng)速度有所放緩。

BeyondTrust的首席技術(shù)官James Maude在解讀報(bào)告時(shí)表示：“今年的數(shù)據(jù)清晰地告訴我們，威脅形勢(shì)并沒有減緩，反而在快速演變。權(quán)限提升漏洞的持續(xù)主導(dǎo)地位，再次證明了攻擊者對(duì)于權(quán)限價(jià)值的高度重視。他們將繼續(xù)瞄準(zhǔn)那些擁有高權(quán)限的身份，以實(shí)現(xiàn)橫向移動(dòng)并訪問關(guān)鍵系統(tǒng)?！?/p>

James Maude還強(qiáng)調(diào)，單純依賴補(bǔ)丁來應(yīng)對(duì)安全威脅是遠(yuǎn)遠(yuǎn)不夠的。因?yàn)檠a(bǔ)丁可能會(huì)失效，甚至可能帶來穩(wěn)定性風(fēng)險(xiǎn)。因此，組織需要更加聚焦于權(quán)限路徑的安全，構(gòu)建多層防御體系，減少每個(gè)身份和訪問點(diǎn)的攻擊面。只有這樣，才能有效應(yīng)對(duì)攻擊者不斷創(chuàng)新的繞過防御手段。