用数据拆解"漏洞群像",以及令人窒息的5%定律

大家好,我是 零日情报局

本文首发于公众号 零日情报局,微信ID:lingriqingbaoju


网络不完美,漏洞永不消,但既不意味着安全无迹可寻,也不代表闻洞即慌。


最近,Forbes新闻称有机构发现,普通Windows 10 PC上有14个"武器化"漏洞,一时间漏洞军火再引安全恐慌。


用数据拆解


不可否认,安全漏洞是网络攻击的主要根源,但我们真的需要这样神经敏感吗?今天,零日就基于报告,用客观的数据和大家理性地聊聊漏洞的那些事儿,让你的敏感神经绷在关键之处。


数据下的漏洞群像


安全漏洞作为网络空间系统构建的必然结果与客观存在,在特定时间、空间和技术环境下无法做到完全消除,更是引发全球网络安全威胁和风险的核心要素。而想要窥探安全漏洞的真实图像,数据是最客观的存在。


下面,零日就基于美国国家信息安全漏洞库(NVD)与报告多方数据,细数当前安全漏洞整体群像的五大特征:


特征1:庞大体量的公开漏洞


行业公认每千行代码存在70+个bug,漏洞之于网络,像人体细菌一般的存在。


美国国家信息安全漏洞库(NVD)存储着全球体量最大的公开漏洞资源,从1999年至2019年披露数据来看,在经历了三次倍增式跃升后,确认新增披露漏洞总量已超13万。NVD数据作为一个标志,意味着现阶段存在着庞大体量的公开漏洞。


用数据拆解

(1999年至2019年NVD新增的披露漏洞数量)


特征2:漏洞修复工作耗时长


人人皆知有洞就要补,但执行起来却不是易事,仅耗时上就需要大量时间。Kenna Security整理了数百家厂商漏洞修复耗时数据显示,仅有45%的漏洞可在30天内快速修复,63%的漏洞在90天内完成修复,还有20%的漏洞会在设备系统上"裸奔"长达一年以上。


用数据拆解

(厂商和漏洞修复整体速度)


而导致漏洞修复周期长的因素,一方面取决于漏洞本身的复杂性,另一方面则要看厂商的重视程度。总之漏洞越复杂越难补。当然,也存在公司消极修补漏洞的情况。


用数据拆解

(安全研究员在公司拒绝修补后披露四个IBM零日漏洞)


特征3:无法修复所有漏洞


漏洞规模、修补耗时以及修补的复杂性,最终呈现的结果就是无法持续修复所有漏洞。对比近两年数百个厂商环境中,发现漏洞数量与修复漏洞的平均数值来看,有效解决的漏洞保持在10%左右。


用数据拆解

(每月发现漏洞与已修复漏洞平均数量)


并不乐观的数据显示,存在着一定程度的漏洞,未被有效修复。当然,微软、苹果等巨头厂商的漏洞修复比率,远远高于这一数据,零日会在后面具体介绍。


特征4:存在无需立即修复漏洞


并不是所有的漏洞都能被修复,那我们是不是已与安全背道而驰?先淡定,因为从披露漏洞的"风险矩阵"来看,千万万万的漏洞中,只有5%的漏洞代码被审计出来且真正实际利用,从而引发安全危机,换句话说,除了高危且易于被利用的漏洞外,其实存在无需马上立即修复的漏洞。


用数据拆解


像我们常说的0day漏洞,也就是零时差漏洞,就是典型高危漏洞的代表,而路径泄露漏洞等则是低风险漏洞中的代表。厂商其实会根据漏洞的威胁等级,进行不同时效的响应。


但,零日想插一嘴,绝大部分的漏洞可能终身不被利用,它们更像是世界上的火山,始终处于“休眠”状态。你要赌的是某一个漏洞永远不会爆,而一旦爆发就是末日灾难,你敢赌吗?


特征5:高风险漏洞必须及时修复


不敢赌,用"看人下菜碟"形容厂商修复漏洞的机制,其实非常合适。但是,从数百家厂商的漏洞修复数据来看,51%的高危漏洞都会第一时间予以处理,也只有16%的漏洞会被一拖到底。对厂商或者说普通用户来说,可怕的不是对漏洞置之不理,而是错过高危漏洞。


用数据拆解

(厂商高危漏洞修补能力)


漏洞群像下的安全边界


漏洞的冰山不会融化,不会消除且持续扩大,但威胁却并非完全不可控。在挖与修的循环往复中,我们同样可以在数据中看到安全的边界。


(1)漏洞分布密度与安全


提及漏洞,常有人将漏洞威胁论简单地与漏洞总量划等号,但实际却是漏洞总量、分布密度,并不等于安全威胁的大小。2013年既已独占操作系统市场九成的微软,可以说同样拥有着最大比重的安全漏洞。


综合微软、苹果各厂商的漏洞总量与分布密度,会发现微软漏洞分布密度是苹果的三倍,且数值位居第一名,这意味微软最危险吗?


用数据拆解

(各厂商漏洞密度分布)


再就是,数据显示已成为市场主流的windows10 PC拥有14个高危漏洞,也就是Forbes新闻用以做噱头,鼓吹漏洞威胁论的数据,而这意味着windows10最危险吗?


用数据拆解

(高风险漏洞密度)


不可否认,漏洞密度越低通常代表着越安全,但密度越高却不一定意味着安全性越差。因为漏洞总量与密度分布,并不代表漏洞就一定被利用,且漏洞密度的背后也意味着白帽群体的奋战力度。


(2)漏洞修复率与安全


某程度而言,漏洞总量是潜在威胁的基本盘面,这时厂商的漏洞修复率其实更能代表安全。上一小节中,漏洞总量遥遥领先的微软,在漏洞修复率上同样一马当先,也就是说高修复率补足了最多漏洞的隐患。


用数据拆解

用数据拆解

(各厂商漏洞修复率比较)


数据说明,微软漏洞修复率高达83%,而当细分到系统时候,微软系漏洞修复率的优势,则更为鲜明。


用数据拆解

(高危漏洞数量与修复率)


(3)漏洞修复速度与安全


修复率之外,漏洞修复速度是衡量安全的另一因素。说白了,就是谁修复漏洞的速度最快,谁就更有安全保障。从统计数据来看,微软平均会在36天内完成半数漏洞的修复,而达到同一数量漏洞修复的速度,苹果是70天,Linux/Unix则需要256天。


谁的安全更具保障,不言而喻。


用数据拆解

(漏洞修复速度比较)


用数据拆解

而从细分数据来看,Windows 10漏洞修补速度最快,Windows XP最慢,这也吻合了当前微软主推Windows 10, Windows XP停服多年的情况。


(4)漏洞修补能力与安全


修复率与修复速度之外,真正能够判定漏洞修补能力的,是给定时间范围内新漏洞和已关闭漏洞比率。在第一板块零日说微软、苹果等巨头厂商的漏洞修复比率,远高于平均值,接下来的数据就是最好的证明。


用数据拆解

(每月关闭的漏洞比例中位数)


整体来看,微软给定时间范围内新漏洞和已关闭漏洞比率高达25.3%,至于前文重点强调的高危漏洞,微软苹果则更为积极,微软的补救能力提升至31.8%。


用数据拆解

(厂商高风险补救能力比较)


(5)漏洞赏金与安全


一个人的力量是有限的,厂商单枪匹马的挖洞补洞同样如此。这也就让漏洞赏金计划是当前厂商的重要安全策略之一。厂商们通过赏金的方式,邀请全球安全从业者共同挖洞,一方面降低成本负担,另一方面则极大的补充了厂商自身的不足。


用数据拆解

(微软2019 MSRC全球最具价值安全精英榜)


因为5%的漏洞利用威胁,所有人都被迫开启了一场旷日持久的"漏洞挖掘战"。不过,从漏洞赏金计划的成果来看,众人的力量极大地提速了厂商的漏洞修复,也就是安全能力。


零日反思


在极端组织,甚至国家级黑客频频利用安全漏洞,从而发起可怕的网络攻击下,人们已逐渐将漏洞与高危划等号,将其视为网络安全"定时炸弹"一般的存在。但数据告诉我们,真正高危的漏洞只是极小一部分,而安全厂商旷日持久的漏洞攻防挖掘战,为的就是排查出真正会爆炸的5%。


零日情报局作品

微信公众号:lingriqingbaoju

如需转载,请后台留言

欢迎分享朋友圈


参考资料:

[1]KennaSecurity《Volume 5: In Search of Assets at Risk》

用数据拆解


分享到:


相關文章: