首页 > 安全资讯 > 正文

用数据拆解漏洞危机,5%阴霾下的安全恐慌

大家好,我是零日情报局。

   网络不完美,漏洞永不消,但既不意味着安全无迹可寻,也不代表闻洞即慌。最近,Forbes新闻称有机构发现,普通Windows 10 PC上有14个“武器化”漏洞,一时间漏洞军火再引安全恐慌。

不可否认,安全漏洞是网络攻击的主要根源,但我们真的需要这样神经敏感吗?今天,零日就基于报告,用客观的数据和大家理性地聊聊漏洞的那些事儿,让你的敏感神经解解压。


数据下的漏洞群像

   安全漏洞作为网络空间系统构建的必然结果与客观存在,在特定时间、空间和技术环境下无法做到完全消除,更是引发全球网络安全威胁和风险的核心要素。而想要窥探安全漏洞的真实图像,数据是最客观的存在。

   下面,零日就基于美国国家信息安全漏洞库(NVD)与报告多方数据,细数当前安全漏洞整体群像的五大特征:

特征1:庞大体量的公开漏洞

   行业公认每千行代码存在70+个bug,漏洞之于网络,像人体细菌一般的存在。

    美国国家信息安全漏洞库(NVD)存储着全球体量最大的公开漏洞资源,从1999年至2019年披露数据来看,在经历了三次倍增式跃升后,确认新增披露漏洞总量已超13万。NVD数据作为一个标志,意味着现阶段存在着庞大体量的公开漏洞。

特征2:漏洞修复工作耗时长

    人人皆知有洞就要补,但执行起来却不是易事,仅耗时上就需要大量时间。Kenna Security整理了数百家厂商漏洞修复耗时数据显示,仅有45%的漏洞可在30天内快速修复,63%的漏洞在90天内完成修复,还有20%的漏洞会在设备系统上“裸奔”长达一年以上。

    而导致漏洞修复周期长的因素,一方面取决于漏洞本身的复杂性,另一方面则要看厂商的重视程度。总之漏洞越复杂越难补。当然,也存在公司消极修补漏洞的情况。

特征3:无法修复所有漏洞

   漏洞规模、修补耗时以及修补的复杂性,最终呈现的结果就是无法修复所有漏洞。对比近两年数百个厂商环境中,发现漏洞数量与修复漏洞的平均数值来看,有效解决的漏洞保持在10%左右。

    并不乐观的数据显示,整体存在着大体量的漏洞,未被有效修复。当然,微软、苹果等巨头厂商的漏洞修复比率,远远高于这一均值,零日会在后面具体介绍。

特征4:存在无需立即修复漏洞,但……

   并不是所有的漏洞都能被修复,那我们是不是已与安全背道而驰。从披露漏洞的“风险矩阵”来看,千万万万的漏洞中,只有5%的漏洞真正有被利用,从而引发安全危机。换句话说,在高危且易于被利用的漏洞外,其实存在无需立即修复漏洞。

    像我们常说的0day漏洞,也就是零时差漏洞,就是典型高危漏洞的代表,而路径泄露漏洞等则是低风险漏洞中的代表。厂商其实会根据漏洞的威胁等级,进行不同时效的响应。但,零日想插一嘴,绝大部分的漏洞可能终身不被利用,它们更像是世界上的火山,始终处于“休眠”状态。你要赌的是某一个漏洞永远不会爆,而一旦爆发就是末日灾难,你敢赌吗?

特征5:高风险漏洞必须及时修复
    不能赌,用“看人下菜碟”形容厂商修复漏洞的机制,其实非常合适。但是,从数百家厂商的漏洞修复数据来看,51%的高危漏洞都会第一时间予以处理,也只有16%的漏洞会被一拖到底。对厂商或者说普通用户来说,可怕的不是对漏洞置之不理,而是错过高危漏洞。

漏洞群像下的安全边界

   漏洞的冰山不会融化,不会消除且持续扩大,但威胁却并非完全不可控。在挖与修的循环往复中,我们同样可以在数据中看到安全的边界。
(1)漏洞分布密度与安全
    提及漏洞,常有人将漏洞威胁论简单地与漏洞总量划等号,但实际却是漏洞总量、分布密度,并不等于安全威胁的大小。2013年既已独占操作系统市场九成的微软,可以说同样拥有着最大比重的安全漏洞。
综合微软、苹果各厂商的漏洞总量与分布密度,会发现微软漏洞分布密度是苹果的三倍,且数值位居第一名,这意味微软最危险吗?

    再就是,数据显示已成为市场主流的windows10 PC拥有14个高危漏洞,也就是Forbes新闻用以做噱头,鼓吹漏洞威胁论的数据,而这意味着windows10最危险吗?

   不可否认,漏洞密度越低通常代表着越安全,但密度越高却不一定意味着安全性越差。因为漏洞总量与密度分布,并不代表漏洞被利用,且漏洞集中公布的背后,是白帽群体的奋战。

威胁还受安装软件、功能、配置多重因素影响。

漏洞修复率与安全

   漏洞总量是潜在威胁的盘面,这时厂商的漏洞修复率其实更能代表安全。上一小节中,漏洞总量遥遥领先的微软,在漏洞修复率上同样一马当先,也就是说高修复率补足了最多漏洞的隐患。

    数据说明,微软漏洞修复率高达83%,而当细分到系统时候,微软系漏洞修复率的优势,则更为鲜明。

漏洞修复速度与安全

   修复率之外,漏洞修复速度是衡量安全的另一因素。说白了,就是谁修复漏洞的速度最快,谁就更有安全保障。从统计数据来看,微软平均会在36天内完成半数漏洞的修复,而达到同一数量漏洞修复的速度,苹果是70天,Linux/Unix则需要256天。
   谁的安全更具保障,不言而喻。

   而从细分数据来看,Windows 10漏洞修补速度最快,Windows XP最慢,这也吻合了当前微软主推Windows 10, Windows XP停服多年的情况。


漏洞修补能力与安全
   修复率与修复速度之外,真正能够判定漏洞修补能力的,是给定时间范围内新漏洞和已关闭漏洞比率。在第一板块零日说微软、苹果等巨头厂商的漏洞修复比率,远高于平均值,接下来的数据就是最好的证明。

    整体来看,微软给定时间范围内新漏洞和已关闭漏洞比率高达25.3%,至于前文重点强调的高危漏洞,微软苹果则更为积极,微软的补救能力提升至31.8%。

漏洞赏金与安全

   一个人的力量是有限的,厂商单枪匹马的挖洞补洞同样如此。这也就让漏洞赏金计划是当前厂商的重要安全策略之一。厂商们通过赏金的方式,邀请全球安全从业者共同挖洞,一方面降低成本负担,另一方面则极大的补充了厂商自身的不足。
(微软2019 MSRC全球最具价值安全精英榜)
   因为5%的漏洞利用威胁,所有人都被迫开启了一场旷日持久的“漏洞挖掘战”。不过,从漏洞赏金计划的成果来看,众人的力量极大地提速了厂商的漏洞修复,也就是安全能力。


零日反思

在极端组织,甚至国家级黑客频频利用安全漏洞,从而发起可怕的网络攻击下,人们已逐渐将漏洞与高危划等号,将其视为网络安全“定时炸弹”一般的存在。但数据告诉我们,真正高危的漏洞只是极小一部分,而安全厂商旷日持久的漏洞攻防挖掘战,为的就是排查出真正会爆炸的5%。



零日情报局作品

微信公众号:lingriqingbaoju

如需转载,请后台留言

欢迎分享朋友圈


考资料:

[1]KennaSecurity《Volume 5: In Search of Assets at Risk》

360安全卫士

热点排行

用户
反馈
返回
顶部