用数据拆解漏洞危机,5%阴霾下的安全恐慌
- 2020-04-24 23:58:32
大家好,我是零日情报局。
网络不完美,漏洞永不消,但既不意味着安全无迹可寻,也不代表闻洞即慌。最近,Forbes新闻称有机构发现,普通Windows 10 PC上有14个“武器化”漏洞,一时间漏洞军火再引安全恐慌。
不可否认,安全漏洞是网络攻击的主要根源,但我们真的需要这样神经敏感吗?今天,零日就基于报告,用客观的数据和大家理性地聊聊漏洞的那些事儿,让你的敏感神经解解压。
数据下的漏洞群像
安全漏洞作为网络空间系统构建的必然结果与客观存在,在特定时间、空间和技术环境下无法做到完全消除,更是引发全球网络安全威胁和风险的核心要素。而想要窥探安全漏洞的真实图像,数据是最客观的存在。
下面,零日就基于美国国家信息安全漏洞库(NVD)与报告多方数据,细数当前安全漏洞整体群像的五大特征:
特征1:庞大体量的公开漏洞
行业公认每千行代码存在70+个bug,漏洞之于网络,像人体细菌一般的存在。
美国国家信息安全漏洞库(NVD)存储着全球体量最大的公开漏洞资源,从1999年至2019年披露数据来看,在经历了三次倍增式跃升后,确认新增披露漏洞总量已超13万。NVD数据作为一个标志,意味着现阶段存在着庞大体量的公开漏洞。
而导致漏洞修复周期长的因素,一方面取决于漏洞本身的复杂性,另一方面则要看厂商的重视程度。总之漏洞越复杂越难补。当然,也存在公司消极修补漏洞的情况。
特征3:无法修复所有漏洞
漏洞规模、修补耗时以及修补的复杂性,最终呈现的结果就是无法修复所有漏洞。对比近两年数百个厂商环境中,发现漏洞数量与修复漏洞的平均数值来看,有效解决的漏洞保持在10%左右。
并不乐观的数据显示,整体存在着大体量的漏洞,未被有效修复。当然,微软、苹果等巨头厂商的漏洞修复比率,远远高于这一均值,零日会在后面具体介绍。
特征4:存在无需立即修复漏洞,但……
并不是所有的漏洞都能被修复,那我们是不是已与安全背道而驰。从披露漏洞的“风险矩阵”来看,千万万万的漏洞中,只有5%的漏洞真正有被利用,从而引发安全危机。换句话说,在高危且易于被利用的漏洞外,其实存在无需立即修复漏洞。
再就是,数据显示已成为市场主流的windows10 PC拥有14个高危漏洞,也就是Forbes新闻用以做噱头,鼓吹漏洞威胁论的数据,而这意味着windows10最危险吗?
不可否认,漏洞密度越低通常代表着越安全,但密度越高却不一定意味着安全性越差。因为漏洞总量与密度分布,并不代表漏洞被利用,且漏洞集中公布的背后,是白帽群体的奋战。
威胁还受安装软件、功能、配置多重因素影响。
漏洞修复率与安全
漏洞总量是潜在威胁的盘面,这时厂商的漏洞修复率其实更能代表安全。上一小节中,漏洞总量遥遥领先的微软,在漏洞修复率上同样一马当先,也就是说高修复率补足了最多漏洞的隐患。
数据说明,微软漏洞修复率高达83%,而当细分到系统时候,微软系漏洞修复率的优势,则更为鲜明。
而从细分数据来看,Windows 10漏洞修补速度最快,Windows XP最慢,这也吻合了当前微软主推Windows 10, Windows XP停服多年的情况。
整体来看,微软给定时间范围内新漏洞和已关闭漏洞比率高达25.3%,至于前文重点强调的高危漏洞,微软苹果则更为积极,微软的补救能力提升至31.8%。
零日反思
零日情报局作品
微信公众号:lingriqingbaoju
如需转载,请后台留言
欢迎分享朋友圈
参考资料:
[1]KennaSecurity《Volume 5: In Search of Assets at Risk》