美图欣赏 | 设为首页 | 加入收藏 | 网站地图

当前位置:新锦江平台:www.xjj7.com-电脑中国 > 新闻 > 安全资讯 >

用数据拆解漏洞危机,5%阴霾下的安全恐慌

2020-04-30 15:10|来源:未知 |作者:dnzg |点击:

   网络不完美,漏洞永不消,但既不意味着安全无迹可寻,也不代表闻洞即慌。最近,Forbes新闻称有机构发现,普通Windows 10 PC上有14个“武器化”漏洞,一时间漏洞军火再引安全恐慌。

不可否认,安全漏洞是网络攻击的主要根源,但我们真的需要这样神经敏感吗?今天,零日就基于报告,用客观的数据和大家理性地聊聊漏洞的那些事儿,让你的敏感神经解解压。

 

数据下的漏洞群像

   安全漏洞作为网络空间系统构建的必然结果与客观存在,在特定时间、空间和技术环境下无法做到完全消除,更是引发全球网络安全威胁和风险的核心要素。而想要窥探安全漏洞的真实图像,数据是最客观的存在。

   下面,零日就基于美国国家信息安全漏洞库(NVD)与报告多方数据,细数当前安全漏洞整体群像的五大特征:

特征1:庞大体量的公开漏洞

   行业公认每千行代码存在70+个bug,漏洞之于网络,像人体细菌一般的存在。

    美国国家信息安全漏洞库(NVD)存储着全球体量最大的公开漏洞资源,从1999年至2019年披露数据来看,在经历了三次倍增式跃升后,确认新增披露漏洞总量已超13万。NVD数据作为一个标志,意味着现阶段存在着庞大体量的公开漏洞。

特征2:漏洞修复工作耗时长

 

    人人皆知有洞就要补,但执行起来却不是易事,仅耗时上就需要大量时间。Kenna Security整理了数百家厂商漏洞修复耗时数据显示,仅有45%的漏洞可在30天内快速修复,63%的漏洞在90天内完成修复,还有20%的漏洞会在设备系统上“裸奔”长达一年以上。

 

    而导致漏洞修复周期长的因素,一方面取决于漏洞本身的复杂性,另一方面则要看厂商的重视程度。总之漏洞越复杂越难补。当然,也存在公司消极修补漏洞的情况。

特征3:无法修复所有漏洞

   漏洞规模、修补耗时以及修补的复杂性,最终呈现的结果就是无法修复所有漏洞。对比近两年数百个厂商环境中,发现漏洞数量与修复漏洞的平均数值来看,有效解决的漏洞保持在10%左右。

    并不乐观的数据显示,整体存在着大体量的漏洞,未被有效修复。当然,微软、苹果等巨头厂商的漏洞修复比率,远远高于这一均值,零日会在后面具体介绍。

特征4:存在无需立即修复漏洞,但……

   并不是所有的漏洞都能被修复,那我们是不是已与安全背道而驰。从披露漏洞的“风险矩阵”来看,千万万万的漏洞中,只有5%的漏洞真正有被利用,从而引发安全危机。换句话说,在高危且易于被利用的漏洞外,其实存在无需立即修复漏洞。

    像我们常说的0day漏洞,也就是零时差漏洞,就是典型高危漏洞的代表,而路径泄露漏洞等则是低风险漏洞中的代表。厂商其实会根据漏洞的威胁等级,进行不同时效的响应。但,零日想插一嘴,绝大部分的漏洞可能终身不被利用,它们更像是世界上的火山,始终处于“休眠”状态。你要赌的是某一个漏洞永远不会爆,而一旦爆发就是末日灾难,你敢赌吗?

 

特征5:高风险漏洞必须及时修复
    不能赌,用“看人下菜碟”形容厂商修复漏洞的机制,其实非常合适。但是,从数百家厂商的漏洞修复数据来看,51%的高危漏洞都会第一时间予以处理,也只有16%的漏洞会被一拖到底。对厂商或者说普通用户来说,可怕的不是对漏洞置之不理,而是错过高危漏洞。

 

漏洞群像下的安全边界

 

   漏洞的冰山不会融化,不会消除且持续扩大,但威胁却并非完全不可控。在挖与修的循环往复中,我们同样可以在数据中看到安全的边界。
(1)漏洞分布密度与安全
    提及漏洞,常有人将漏洞威胁论简单地与漏洞总量划等号,但实际却是漏洞总量、分布密度,并不等于安全威胁的大小。2013年既已独占操作系统市场九成的微软,可以说同样拥有着最大比重的安全漏洞。
综合微软、苹果各厂商的漏洞总量与分布密度,会发现微软漏洞分布密度是苹果的三倍,且数值位居第一名,这意味微软最危险吗?

 

    再就是,数据显示已成为市场主流的windows10 PC拥有14个高危漏洞,也就是Forbes新闻用以做噱头,鼓吹漏洞威胁论的数据,而这意味着windows10最危险吗?

   不可否认,漏洞密度越低通常代表着越安全,但密度越高却不一定意味着安全性越差。因为漏洞总量与密度分布,并不代表漏洞被利用,且漏洞集中公布的背后,是白帽群体的奋战。

威胁还受安装软件、功能、配置多重因素影响。

漏洞修复率与安全

   漏洞总量是潜在威胁的盘面,这时厂商的漏洞修复率其实更能代表安全。上一小节中,漏洞总量遥遥领先的微软,在漏洞修复率上同样一马当先,也就是说高修复率补足了最多漏洞的隐患。

    数据说明,微软漏洞修复率高达83%,而当细分到系统时候,微软系漏洞修复率的优势,则更为鲜明。

 

漏洞修复速度与安全

 

   修复率之外,漏洞修复速度是衡量安全的另一因素。说白了,就是谁修复漏洞的速度最快,谁就更有安全保障。从统计数据来看,微软平均会在36天内完成半数漏洞的修复,而达到同一数量漏洞修复的速度,苹果是70天,Linux/Unix则需要256天。
   谁的安全更具保障,不言而喻。
(责任编辑:dnzg)