大家好,我是 零日情報局 。
本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju。
網絡不完美,漏洞永不消,但既不意味著安全無跡可尋,也不代表聞洞即慌。
最近,Forbes新聞稱有機構發現,普通Windows 10 PC上有14個"武器化"漏洞,一時間漏洞軍火再引安全恐慌。
不可否認,安全漏洞是網絡攻擊的主要根源,但我們真的需要這樣神經敏感嗎?今天,零日就基於報告,用客觀的數據和大家理性地聊聊漏洞的那些事兒,讓你的敏感神經繃在關鍵之處。
數據下的漏洞群像
安全漏洞作為網絡空間系統構建的必然結果與客觀存在,在特定時間、空間和技術環境下無法做到完全消除,更是引發全球網絡安全威脅和風險的核心要素。而想要窺探安全漏洞的真實圖像,數據是最客觀的存在。
下面,零日就基於美國國家信息安全漏洞庫(NVD)與報告多方數據,細數當前安全漏洞整體群像的五大特徵:
特徵1:龐大體量的公開漏洞
行業公認每千行代碼存在70+個bug,漏洞之於網絡,像人體細菌一般的存在。
美國國家信息安全漏洞庫(NVD)存儲著全球體量最大的公開漏洞資源,從1999年至2019年披露數據來看,在經歷了三次倍增式躍升後,確認新增披露漏洞總量已超13萬。NVD數據作為一個標誌,意味著現階段存在著龐大體量的公開漏洞。
(1999年至2019年NVD新增的披露漏洞數量)
特徵2:漏洞修復工作耗時長
人人皆知有洞就要補,但執行起來卻不是易事,僅耗時上就需要大量時間。Kenna Security整理了數百家廠商漏洞修復耗時數據顯示,僅有45%的漏洞可在30天內快速修復,63%的漏洞在90天內完成修復,還有20%的漏洞會在設備系統上"裸奔"長達一年以上。
(廠商和漏洞修復整體速度)
而導致漏洞修復週期長的因素,一方面取決於漏洞本身的複雜性,另一方面則要看廠商的重視程度。總之漏洞越複雜越難補。當然,也存在公司消極修補漏洞的情況。
(安全研究員在公司拒絕修補後披露四個IBM零日漏洞)
特徵3:無法修復所有漏洞
漏洞規模、修補耗時以及修補的複雜性,最終呈現的結果就是無法持續修復所有漏洞。對比近兩年數百個廠商環境中,發現漏洞數量與修復漏洞的平均數值來看,有效解決的漏洞保持在10%左右。
(每月發現漏洞與已修復漏洞平均數量)
並不樂觀的數據顯示,存在著一定程度的漏洞,未被有效修復。當然,微軟、蘋果等巨頭廠商的漏洞修復比率,遠遠高於這一數據,零日會在後面具體介紹。
特徵4:存在無需立即修復漏洞
並不是所有的漏洞都能被修復,那我們是不是已與安全背道而馳?先淡定,因為從披露漏洞的"風險矩陣"來看,千萬萬萬的漏洞中,只有5%的漏洞代碼被審計出來且真正實際利用,從而引發安全危機,換句話說,除了高危且易於被利用的漏洞外,其實存在無需馬上立即修復的漏洞。
像我們常說的0day漏洞,也就是零時差漏洞,就是典型高危漏洞的代表,而路徑洩露漏洞等則是低風險漏洞中的代表。廠商其實會根據漏洞的威脅等級,進行不同時效的響應。
但,零日想插一嘴,絕大部分的漏洞可能終身不被利用,它們更像是世界上的火山,始終處於“休眠”狀態。你要賭的是某一個漏洞永遠不會爆,而一旦爆發就是末日災難,你敢賭嗎?
特徵5:高風險漏洞必須及時修復
不敢賭,用"看人下菜碟"形容廠商修復漏洞的機制,其實非常合適。但是,從數百家廠商的漏洞修復數據來看,51%的高危漏洞都會第一時間予以處理,也只有16%的漏洞會被一拖到底。對廠商或者說普通用戶來說,可怕的不是對漏洞置之不理,而是錯過高危漏洞。
(廠商高危漏洞修補能力)
漏洞群像下的安全邊界
漏洞的冰山不會融化,不會消除且持續擴大,但威脅卻並非完全不可控。在挖與修的循環往復中,我們同樣可以在數據中看到安全的邊界。
(1)漏洞分佈密度與安全
提及漏洞,常有人將漏洞威脅論簡單地與漏洞總量劃等號,但實際卻是漏洞總量、分佈密度,並不等於安全威脅的大小。2013年既已獨佔操作系統市場九成的微軟,可以說同樣擁有著最大比重的安全漏洞。
綜合微軟、蘋果各廠商的漏洞總量與分佈密度,會發現微軟漏洞分佈密度是蘋果的三倍,且數值位居第一名,這意味微軟最危險嗎?
(各廠商漏洞密度分佈)
再就是,數據顯示已成為市場主流的windows10 PC擁有14個高危漏洞,也就是Forbes新聞用以做噱頭,鼓吹漏洞威脅論的數據,而這意味著windows10最危險嗎?
(高風險漏洞密度)
不可否認,漏洞密度越低通常代表著越安全,但密度越高卻不一定意味著安全性越差。因為漏洞總量與密度分佈,並不代表漏洞就一定被利用,且漏洞密度的背後也意味著白帽群體的奮戰力度。
(2)漏洞修復率與安全
某程度而言,漏洞總量是潛在威脅的基本盤面,這時廠商的漏洞修復率其實更能代表安全。上一小節中,漏洞總量遙遙領先的微軟,在漏洞修復率上同樣一馬當先,也就是說高修復率補足了最多漏洞的隱患。
(各廠商漏洞修復率比較)
數據說明,微軟漏洞修復率高達83%,而當細分到系統時候,微軟系漏洞修復率的優勢,則更為鮮明。
(高危漏洞數量與修復率)
(3)漏洞修復速度與安全
修復率之外,漏洞修復速度是衡量安全的另一因素。說白了,就是誰修復漏洞的速度最快,誰就更有安全保障。從統計數據來看,微軟平均會在36天內完成半數漏洞的修復,而達到同一數量漏洞修復的速度,蘋果是70天,Linux/Unix則需要256天。
誰的安全更具保障,不言而喻。
(漏洞修復速度比較)
而從細分數據來看,Windows 10漏洞修補速度最快,Windows XP最慢,這也吻合了當前微軟主推Windows 10, Windows XP停服多年的情況。
(4)漏洞修補能力與安全
修復率與修復速度之外,真正能夠判定漏洞修補能力的,是給定時間範圍內新漏洞和已關閉漏洞比率。在第一板塊零日說微軟、蘋果等巨頭廠商的漏洞修復比率,遠高於平均值,接下來的數據就是最好的證明。
(每月關閉的漏洞比例中位數)
整體來看,微軟給定時間範圍內新漏洞和已關閉漏洞比率高達25.3%,至於前文重點強調的高危漏洞,微軟蘋果則更為積極,微軟的補救能力提升至31.8%。
(廠商高風險補救能力比較)
(5)漏洞賞金與安全
一個人的力量是有限的,廠商單槍匹馬的挖洞補洞同樣如此。這也就讓漏洞賞金計劃是當前廠商的重要安全策略之一。廠商們通過賞金的方式,邀請全球安全從業者共同挖洞,一方面降低成本負擔,另一方面則極大的補充了廠商自身的不足。
(微軟2019 MSRC全球最具價值安全精英榜)
因為5%的漏洞利用威脅,所有人都被迫開啟了一場曠日持久的"漏洞挖掘戰"。不過,從漏洞賞金計劃的成果來看,眾人的力量極大地提速了廠商的漏洞修復,也就是安全能力。
零日反思
在極端組織,甚至國家級黑客頻頻利用安全漏洞,從而發起可怕的網絡攻擊下,人們已逐漸將漏洞與高危劃等號,將其視為網絡安全"定時炸彈"一般的存在。但數據告訴我們,真正高危的漏洞只是極小一部分,而安全廠商曠日持久的漏洞攻防挖掘戰,為的就是排查出真正會爆炸的5%。
零日情報局作品
微信公眾號:lingriqingbaoju
如需轉載,請後臺留言
歡迎分享朋友圈
參考資料:
[1]KennaSecurity《Volume 5: In Search of Assets at Risk》
