安全无小事!唯有不放过每一个针尖大的漏洞,才能将所有风险消除在萌芽状态。
日前,绿盟科技发布《漏洞发展趋势报告》(以下简称《报告》),以NVD为数据源,对1999-2019年的漏洞数据进行回顾分析,结合绿盟威胁情报中心(NTI)监测到的漏洞利用攻击事件,总结了20年来漏洞研究及利用的趋势,情况不容乐观。
绿盟科技威胁情报与网络安全实验室高级技术总监、天枢实验室负责人范敦球在接受C114采访时表示,漏洞安全形势非常严峻,2019年的漏洞数量同比1999年,增长了9.62倍。同时,范敦球指出,5G时代漏洞存于两大“风险区”。
漏洞数量激增9.6倍:“安全左移”成药方
随着计算机网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。
软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件的发生。对软件开发商来说,通过对漏洞的研究,可以帮助开发人员把更多的精力放在安全开发过程中需要注意的关键技术上,开发出高质量的软件。
《报告》数据显示,截至2019年底,NVD数据库共收录漏洞信息138909条。2019年的漏洞数量同比1999年,增长了9.62倍。这也意味着,漏洞安全形势非常严峻。
数据来源:绿盟科技《漏洞发展趋势报告》
“软件及其系统中的漏洞是导致信息安全问题的根源所在,如何减少安全漏洞已经成为了信息安全从 业人员的热门话题。”范敦球指出,“从目前看来,这一愿景与漏洞数量逐年增长的趋势相悖。”《漏洞发展趋势报告》指出,目前漏洞发展呈现了九大趋势:
漏洞数量呈现显著增长的总体趋势;操作系统被公开的漏洞中,开源操作系统占比相对更高,其安全性问题可能暴露的更充分;根据绿盟威胁情报中心(NTI) 显示,十年以上高龄漏洞在攻击事件中占比仍然高。
浏览器作为网络攻击的入口,漏洞种类复杂多样;利用文件格式漏洞的鱼叉式钓鱼攻击已成为网络安全的主要威胁之一,此类漏洞利用稳定性高,在APT攻击事件中屡见不鲜;Flash漏洞作为曾经的研究焦点,今后一段时间内,Flash漏洞并不会彻底消亡,还需继续关注。
与此同时,随着开源软件开发模式的兴起,针对软件供应链的攻击成为面向软件开发人员和供应商的一种新兴威胁;近些年来社会各界对移动应用的漏洞关注度逐渐提高;物联网设备数量增长迅速,设备厂商应该重视并加强自身产品的安全。
面对如此严峻的发展趋势,企业又将如何避免安全漏洞安全的出现呢?对此,范敦球认为,“安全左移”可以从源头上尽量减少漏洞的产生。“安全左移”就是在软件开发、甚至设计的过程中就开始关注安全,将安全作为软件的一个功能、属性进行考虑,而不是附属。
网络安全的本质是攻与防的对抗,未知攻焉知防,只有在了解了各种攻击技术和手段后才能采取更加有效的防御策略,从而避免安全事件的发生。
“当前的项目开发中,不少项目都是先进行生产功能的实现,测试生产功能没有问题后,直接上线或者再考虑一些边界安全问题。这样的问题在于,虽然可以通过对程序的输入进行严格的校验,避免攻击的发生。但是程序内部中的一些逻辑问题及潜在的安全问题都没有机会被发现,一旦被外部攻击者或用户有意或无意的触发,将造成直接影响。”范敦球强调,只有将安全作为软件的固有功能和属性从设计之初就加以考虑的话,可以部分避免安全漏洞的出现。
