零日漏洞已成新常態(tài)����?
時(shí)間:2019-03-11
微軟研究顯示���,2017年每個(gè)被利用的Windows漏洞都是從零日攻擊開始的。其他研究表明該趨勢(shì)橫跨整個(gè)IT領(lǐng)域���。
IT安全界傳統(tǒng)觀點(diǎn)認(rèn)為零日漏洞利用很稀少,我們更需關(guān)注構(gòu)成攻擊主體的非零日漏洞。但2月7日的微軟藍(lán)帽大會(huì)( Blue Hat )上����,微軟安全研究員 Matt Miller 以微軟Windows開發(fā)及防御演變?yōu)橹黝}的精彩報(bào)告,挑戰(zhàn)了這一傳統(tǒng)認(rèn)知�����。
Miller收集到的數(shù)據(jù)顯示零日漏洞實(shí)際上已成當(dāng)今IT領(lǐng)域常態(tài)���,非零日漏洞正隨時(shí)間進(jìn)程變得不那么常見�。2017年����,每個(gè)被利用的微軟漏洞都是從零日攻擊開始的。2012年�����,這一比例是52%�����;2008年是更低的21%����。
毫無疑問��,調(diào)查結(jié)果引發(fā)了廣泛討論����。如果錯(cuò)誤理解了Miller的發(fā)現(xiàn)���,人們可能會(huì)質(zhì)疑:如果絕大部分漏洞都沒有補(bǔ)丁��,修復(fù)操作還有什么價(jià)值呢���?但單一的數(shù)據(jù)是說明不了問題的,防御的構(gòu)建不能僅以一個(gè)數(shù)據(jù)點(diǎn)做為基礎(chǔ)����。下面我們就來看看為什么不能僅以Miller的數(shù)據(jù)當(dāng)做部署防御的依據(jù)。
大多數(shù)漏洞都沒被利用
盡管現(xiàn)在每年新發(fā)現(xiàn)的公開漏洞都在1.5萬個(gè)以上��,但其中大多數(shù)其實(shí)是從未被利用過的�����。Miller的數(shù)據(jù)也表明���,僅僅0.02%(588個(gè) Windows CVE 中的12個(gè))是被活躍利用的����。其他風(fēng)險(xiǎn)管理公司也證實(shí)了這一點(diǎn)����,比如 Kenna Security 就稱,僅0.6%的CVE(不僅僅是 Windows CVE)曾出現(xiàn)過野生的漏洞利用情況���。
所以�����,用戶無需擔(dān)心大多數(shù)披露出來的漏洞�,只需關(guān)注少數(shù)幾個(gè)有野生漏洞利用的即可��。也就是說��,與其試圖泛泛修復(fù)1.5萬個(gè)潛在漏洞����,不如專注完美修復(fù)90個(gè)相關(guān)漏洞。如果你只關(guān)注微軟Windows補(bǔ)丁�����,這意味著600個(gè)已公布Windows漏洞中你只需要重點(diǎn)關(guān)注12個(gè)就夠了。哪幾個(gè)呢����?那些有公開漏洞利用代碼的。
這一標(biāo)準(zhǔn)決定了是否需要應(yīng)用補(bǔ)丁����。Computerworld的 Woody Leonhard 甚至認(rèn)為,就Miller的數(shù)據(jù)揭示出來的東西而言�,大部分微軟補(bǔ)丁都不需要一經(jīng)推出就立即應(yīng)用。
不過�,在何時(shí)應(yīng)用微軟補(bǔ)丁上,大家見仁見智�,越快應(yīng)用越好的想法也很有市場(chǎng)。數(shù)據(jù)顯示�����,大部分風(fēng)險(xiǎn)都不是出現(xiàn)在補(bǔ)丁剛放出的那幾天里���。所以���,非高風(fēng)險(xiǎn)環(huán)境中��,是可以稍微等幾天��,確保所有漏洞已找出且被其他早期補(bǔ)丁采納者解決之后����,再應(yīng)用補(bǔ)丁�。
首次被利用不等于被利用得多
Miller的數(shù)據(jù)確實(shí)表明�,大部分被利用的Windows漏洞都是作為零日漏洞被首次應(yīng)用到目標(biāo)公司身上,這一點(diǎn)很是令人驚訝��。但是����,零日攻擊之后該漏洞的被利用頻次如何,就不是能從他的數(shù)據(jù)“臆測(cè)”的了����。
Miller的數(shù)據(jù)僅僅揭示首日和頭30天里被利用的漏洞,并未呈現(xiàn)30天之后發(fā)生了什么���。而且更重要的是�,這幾個(gè)時(shí)間段里的被利用頻次也未涉及�。
比如說�,假設(shè)零日漏洞在首日被用到了某家公司的35臺(tái)設(shè)備上�,但只要漏洞利用代碼被公開,接下來的幾年內(nèi)將會(huì)有數(shù)百萬設(shè)備受害�����。Miller的數(shù)據(jù)并未顯示各時(shí)間段里設(shè)備所承受的總體風(fēng)險(xiǎn)程度�����。但無論新漏洞利用被披露的方式如何(零日或經(jīng)由相應(yīng)的補(bǔ)丁發(fā)布)�,都沒有考慮到漏洞可導(dǎo)致的整體風(fēng)險(xiǎn)。
零日漏洞成本上升
零日漏洞盛行的觀點(diǎn)站不住腳:從最普遍的供需關(guān)系看��,隨著零日漏洞的普及�����,漏洞給其發(fā)現(xiàn)者所帶來的利潤(rùn)必然減少�。漏洞獎(jiǎng)勵(lì)項(xiàng)目為零日漏洞設(shè)的獎(jiǎng)金倒是仍在走高。也就是說����,零日漏洞,至少對(duì)攻擊者而言好用的零日漏洞,只會(huì)越來越少��。
漏洞根本不是你的首要問題
事實(shí)上��,絕大多數(shù)成功惡意數(shù)據(jù)泄露都是因?yàn)樯鐣?huì)工程的完美運(yùn)用�����,而不是源自軟件漏洞利用�����。每年各家安全或咨詢公司給出的數(shù)據(jù)都不一樣���,但近10年來,社會(huì)工程方法�����,尤其是網(wǎng)絡(luò)釣魚��,都已經(jīng)取代軟件漏洞��,成為攻擊者突破設(shè)備或網(wǎng)絡(luò)的首要方式�。在比較零日漏洞和非零日漏洞的時(shí)候,千萬別忘了我們的最大問題并不是軟件和硬件修復(fù)����。
在線咨詢
在線咨詢
0371-63319761