美圖欣賞 | 設為首頁 | 加入收藏 | 網站地圖

當前位置:新錦江平臺:www.xjj7.com-電腦中國 > 新聞 > 安全資訊 >

用數據拆解漏洞危機,5%陰霾下的安全恐慌

2020-04-30 15:10|來源:未知 |作者:dnzg |點擊:

   網絡不完美,漏洞永不消,但既不意味著安全無跡可尋,也不代表聞洞即慌。最近,Forbes新聞稱有機構發現,普通Windows 10 PC上有14個“武器化”漏洞,一時間漏洞軍火再引安全恐慌。

不可否認,安全漏洞是網絡攻擊的主要根源,但我們真的需要這樣神經敏感嗎?今天,零日就基于報告,用客觀的數據和大家理性地聊聊漏洞的那些事兒,讓你的敏感神經解解壓。

 

數據下的漏洞群像

   安全漏洞作為網絡空間系統構建的必然結果與客觀存在,在特定時間、空間和技術環境下無法做到完全消除,更是引發全球網絡安全威脅和風險的核心要素。而想要窺探安全漏洞的真實圖像,數據是最客觀的存在。

   下面,零日就基于美國國家信息安全漏洞庫(NVD)與報告多方數據,細數當前安全漏洞整體群像的五大特征:

特征1:龐大體量的公開漏洞

   行業公認每千行代碼存在70+個bug,漏洞之于網絡,像人體細菌一般的存在。

    美國國家信息安全漏洞庫(NVD)存儲著全球體量最大的公開漏洞資源,從1999年至2019年披露數據來看,在經歷了三次倍增式躍升后,確認新增披露漏洞總量已超13萬。NVD數據作為一個標志,意味著現階段存在著龐大體量的公開漏洞。

特征2:漏洞修復工作耗時長

 

    人人皆知有洞就要補,但執行起來卻不是易事,僅耗時上就需要大量時間。Kenna Security整理了數百家廠商漏洞修復耗時數據顯示,僅有45%的漏洞可在30天內快速修復,63%的漏洞在90天內完成修復,還有20%的漏洞會在設備系統上“裸奔”長達一年以上。

 

    而導致漏洞修復周期長的因素,一方面取決于漏洞本身的復雜性,另一方面則要看廠商的重視程度?傊┒丛綇碗s越難補。當然,也存在公司消極修補漏洞的情況。

特征3:無法修復所有漏洞

   漏洞規模、修補耗時以及修補的復雜性,最終呈現的結果就是無法修復所有漏洞。對比近兩年數百個廠商環境中,發現漏洞數量與修復漏洞的平均數值來看,有效解決的漏洞保持在10%左右。

    并不樂觀的數據顯示,整體存在著大體量的漏洞,未被有效修復。當然,微軟、蘋果等巨頭廠商的漏洞修復比率,遠遠高于這一均值,零日會在后面具體介紹。

特征4:存在無需立即修復漏洞,但……

   并不是所有的漏洞都能被修復,那我們是不是已與安全背道而馳。從披露漏洞的“風險矩陣”來看,千萬萬萬的漏洞中,只有5%的漏洞真正有被利用,從而引發安全危機。換句話說,在高危且易于被利用的漏洞外,其實存在無需立即修復漏洞。

    像我們常說的0day漏洞,也就是零時差漏洞,就是典型高危漏洞的代表,而路徑泄露漏洞等則是低風險漏洞中的代表。廠商其實會根據漏洞的威脅等級,進行不同時效的響應。但,零日想插一嘴,絕大部分的漏洞可能終身不被利用,它們更像是世界上的火山,始終處于“休眠”狀態。你要賭的是某一個漏洞永遠不會爆,而一旦爆發就是末日災難,你敢賭嗎?

 

特征5:高風險漏洞必須及時修復
    不能賭,用“看人下菜碟”形容廠商修復漏洞的機制,其實非常合適。但是,從數百家廠商的漏洞修復數據來看,51%的高危漏洞都會第一時間予以處理,也只有16%的漏洞會被一拖到底。對廠商或者說普通用戶來說,可怕的不是對漏洞置之不理,而是錯過高危漏洞。

 

漏洞群像下的安全邊界

 

   漏洞的冰山不會融化,不會消除且持續擴大,但威脅卻并非完全不可控。在挖與修的循環往復中,我們同樣可以在數據中看到安全的邊界。
(1)漏洞分布密度與安全
    提及漏洞,常有人將漏洞威脅論簡單地與漏洞總量劃等號,但實際卻是漏洞總量、分布密度,并不等于安全威脅的大小。2013年既已獨占操作系統市場九成的微軟,可以說同樣擁有著最大比重的安全漏洞。
綜合微軟、蘋果各廠商的漏洞總量與分布密度,會發現微軟漏洞分布密度是蘋果的三倍,且數值位居第一名,這意味微軟最危險嗎?

 

    再就是,數據顯示已成為市場主流的windows10 PC擁有14個高危漏洞,也就是Forbes新聞用以做噱頭,鼓吹漏洞威脅論的數據,而這意味著windows10最危險嗎?

   不可否認,漏洞密度越低通常代表著越安全,但密度越高卻不一定意味著安全性越差。因為漏洞總量與密度分布,并不代表漏洞被利用,且漏洞集中公布的背后,是白帽群體的奮戰。

威脅還受安裝軟件、功能、配置多重因素影響。

漏洞修復率與安全

   漏洞總量是潛在威脅的盤面,這時廠商的漏洞修復率其實更能代表安全。上一小節中,漏洞總量遙遙領先的微軟,在漏洞修復率上同樣一馬當先,也就是說高修復率補足了最多漏洞的隱患。

    數據說明,微軟漏洞修復率高達83%,而當細分到系統時候,微軟系漏洞修復率的優勢,則更為鮮明。

 

漏洞修復速度與安全

 

   修復率之外,漏洞修復速度是衡量安全的另一因素。說白了,就是誰修復漏洞的速度最快,誰就更有安全保障。從統計數據來看,微軟平均會在36天內完成半數漏洞的修復,而達到同一數量漏洞修復的速度,蘋果是70天,Linux/Unix則需要256天。
   誰的安全更具保障,不言而喻。
(責任編輯:dnzg)
安卓手机安全赚钱软件哪个好用 股票配资平台代理股票配资平台代理 山东十一选五夺金一定牛 业余赛车比赛 黑龙江十一选五正好网开将结果 2019年福建36选7开奖记录 山东体彩十一选五走势图 江西十一选五玩法规则 福建22选5走势图开奖结果 快乐双彩 双色球 甘肃11选五号码走势图