安全面临新态势 漏洞成为“众矢之的” 來源: 網絡 發表時間: 2017-07-14

回顾2017年的多起重大安全事件,我们不得不给出这样一个观点,即安全漏洞日趋增长,危害性越来越高,导致安全漏洞已经成为目前網絡安全领域中的最大焦点。同时,这一观点也在众多安全厂商之间达成共识,大家纷纷推出各自的应对措施,下面就让我们来综合的看一看目前安全漏洞的主要发展态势及主要应对手段。


15198676171538.jpg 


安全漏洞成倍增長

    據NVD(美國國家漏洞數據庫)最新數據表明,2017年全年新增漏洞數量14643個,有史以來第一次突破了1萬大關。而2016年該項數據僅爲6447個,可見2017年新增漏洞數量較2016年增長超過了一倍。


而在国内方面,2017年5月由国家计算机網絡应急技术处理协调中心发布的《2016年中国互联网網絡安全报告》中指出,2016年国家信息安全漏洞共享平台(CNVD)共收录通用软硬件漏洞10822个,较2015年漏洞收录总数8080个,环比增加了33.9%。


此外,随着云计算、大数据、人工智能、物联网、移动支付等互联网新兴技术的不断出现,安全漏洞激增的这一态势也将愈演愈烈,无论从所波及范围,还是危害程度都将成倍增加。从2017年的数据泄露、網絡攻击事件中所呈现出的整体状态来看,安全漏洞所带来的巨大隐患不容小视,这也让众多安全厂商面临着一场前所未有的安全挑战。


從另一方面來看,人工智能、大數據等新興技術的迅猛發展,也爲漏洞挖掘提供了更高效的手段,利用自動化漏洞挖掘工具替代人工漏洞挖掘工作使得發現新漏洞比以往更加容易。因此,國內外權威漏洞平台在2017年公布的漏洞數量出現了一個跨越式的增長。


安全漏洞之殇


從2017年初的“永恒之藍”漏洞,再到年底曝出的“Meltdown”和“Spectre”CPU漏洞,可以說2017年的安全領域給人的印象就是“千瘡百孔”,很多遺存的漏洞都在這一年中被暴露出來,而且還都造成了比較可觀的影響及後果。


以出現頻率和造成危害最嚴重的“零日”漏洞爲例,先後就有多個高危的Office漏洞被曝出,其中很多已經被APT組織所利用。而供求關系決定了其漏洞價值,從國際知名的0Day漏洞掮客ZERODIUM給出的漏洞支付價格就可以看出,移動終端系統以及應用漏洞的價格明顯高于傳統桌面、服務器操作系統的漏洞價格。


值得注意的是,從相關交易記錄來看,漏洞買家對于新興領域的漏洞更感興趣,也更搶手。從2013-2016年國內權威漏洞機構CNVD所收錄的移動互聯網行業漏洞3409個,工業控制行業漏洞559個就可見一斑。


安全漏洞應對之策


目前,包括安全研究机构、互联网公司、網絡安全厂商在内,甚至黑产对安全漏洞的重视程度都在提高。同时,大家也都在加大对漏洞的相关研究力度和投入。据Gartner预测,2018年全球安全支出将达到960亿美元,比2017年增长8%。面临如此严峻的網絡安全形势,除了在政策法规层面不断完善和规范之外,我们又将如何更好的去管理和弥补漏洞带来的威胁呢?


從對漏洞攻擊的長期觀察來看,一般基于漏洞的攻擊形式都將經曆發現、利用、危害,最後逐漸消亡的一個周期,這也是漏洞的生命周期。而漏洞的生命周期對于漏洞的應急處置有著非常重要的意義,因爲幾乎所有的安全産品都會圍繞這一周期進行多維度的防護來應對漏洞攻擊。


我們從“震網”事件中“0Day漏洞攻擊”的高發區可以看出,目前工業控制系統的漏洞已經被衆多黑客組織所“相中”,因此工業控制系統用戶應該加大對所使用的工控設備、協議等漏洞防護的投入和力度,主動去挖掘工業控制系統中可能存在的漏洞,明確漏洞形成的機理和相應的攻擊方式,爲漏洞的彌補提供有效信息,保障工業控制系統的安全可靠運行。


另外,用戶及時從廠商獲取漏洞補丁,進行系統性的修複工作仍然是十分重要的,但這也不能完全避免類似的攻擊出現。因此,在條件允許的情況下,企業應當盡可能建立起一套完整的安全防護體系,其中至少應該包括漏掃、預警、跟蹤、管理等一系列手段,讓漏洞響應機制逐漸形成規範和標准,從而爲企業發展營造一個更加健康的發展環境。