三張圖，解讀漏洞發展趨勢

歷年漏洞數量統計

 

截至2019年底，NVD數據庫共收錄漏洞信息138909條。2019年的漏洞數量同比1999年，增長了9.62倍。

漏洞的 CVSS V2.0 分布

 

截止 2019 年底共有 130937 條漏洞分配了 CVSS V2.0 等級，中危漏洞占 56.06%，高危漏洞占據 35.22%。 

TOP20 CWE 漏洞類型

 

跨站腳本 (CWE-79) 類型的漏洞數量以 12911 條占據第一。

 

攻擊者眼中，十年以上“高齡”漏洞依舊“好使”

攻擊事件使用到的漏洞按年分布

 

攻擊者關注穩定、高效的漏洞利用技術，在漏洞的選擇上追求易用性、時效性以及是否能獲取目標控制權限的攻擊能力。可以看到，即使是在 2019 年，十年以上的高齡漏洞仍然占據了相當大的比例，說明互聯網上依然存在著大量長期未更新的軟件和系統。

 

警惕！利用文件格式漏洞的魚叉式釣魚攻擊

 

文檔類型漏洞分布

 

通過對APT攻擊的研究發現，利用文件格式漏洞的魚叉式釣魚攻擊已成為網絡安全的主要威脅之一。PDF、doc(x)、xls(x)、ppt(x) 等文件格式具有跨平臺、應用范圍廣、用戶基數大的特點，受到了攻擊者的持續關注，目標主機上的相應程序一旦存在安全漏洞就會被輕易攻破。

 

開源軟件面臨漏洞利用和軟件供應鏈的雙重攻擊

常見開源軟件的漏洞數量

 

開源軟件具有開放、免費、功能靈活等特點，得到了越來越廣泛的應用，但是安全問題仍然普遍存在。公開的利用代碼在短時間內被集成到成熟的攻擊框架或木馬程序中，進一步降低了漏洞利用的門檻，而從漏洞公布到被攻擊者大規模利用的時間窗口也在進一步縮短，給安全廠商防護能力帶來了更大的挑戰。

 

針對軟件供應鏈的攻擊，成為面向軟件開發人員和供應商的一種新興威脅。針對軟件供應鏈的攻擊在傳播速度上更快、影響范圍更廣、危害更大，同時也更隱蔽。軟件開發商應該制定軟件供應鏈標準、規范，遵循安全的開發流程，定期組織軟件供應鏈攻防演練競賽，定期對自身網站、軟件等進行檢測與加固，以減少受到此類攻擊的風險。

 

物聯網安全的價值不應只在受到威脅時才被重視

據市場研究公司 Gartner 稱， 2016 年全球物聯網設備數量為 64 億，2020 年將達到 204 億 ，增長 218.75%，但是目前物聯網建設過程中考慮到信息安全的產品極少，絕大部分是“裸奔”狀態。

 

2019年 TOP10 物聯網漏洞利用數量

 

面對物聯網的威脅，設備制造商應當重視設備的安全，指定安全的開發流程，對設備進行全面的安全測試。對于默認密碼的問題，應當在用戶第一次使用的時候，強制讓用戶修改密碼，并檢查用戶密碼的安全性，禁止設置弱密碼。對使用周期較長的設備，定期提供可更新的固件，以確保設備的安全性。

 

總結：“安全左移”，從源頭上減少漏洞的產生

安全是一個攻與防的過程，未知攻焉知防，只有在了解各種攻擊技術和手段后才能采取更加有效的防御策略，從而避免安全事件的發生。軟件開發人員不僅需要熟練的編程技巧，還需要重視“安全左移”，即在開發階段進行安全加固、代碼審計，將安全屬性融入到軟件的開發過程中，從源頭上減少漏洞的產生。 

安全研究人員需要加強系統漏洞及防護技術等方面的學習，不斷深入研究新的漏洞挖掘和利用技術，挑戰各種漏洞的緩解措施，先攻擊者一步掌握最新的攻擊技術，才能與安全廠商攜手，進一步提高系統和應用的安全防護水平。

 

下載鏈接

http://blog.nsfocus.net/wp-content/uploads/2020/05/Vulnerability-Development-Trend.pdf