用数据拆解“漏洞群像”,以及令人窒息的5%定律
用数据拆解“漏洞群像”,以及令人窒息的5%定律
大家好,我是 零日情报局。
本文首发于公众号 零日情报局,微信ID:lingriqingbaoju。
网络不完美,漏洞永不消,但既不意味着安全无迹可寻,也不代表闻洞即慌。
最近,Forbes新闻称有机构发现,普通Windows 10 PC上有14个“武器化”漏洞,一时间漏洞军火再引安全恐慌。
不可否认,安全漏洞是网络攻击的主要根源,但我们真的需要这样神经敏感吗?今天,零日就基于报告,用客观的数据和大家理性地聊聊漏洞的那些事儿,让你的敏感神经绷在关键之处。
数据下的漏洞群像
安全漏洞作为网络空间系统构建的必然结果与客观存在,在特定时间、空间和技术环境下无法做到完全消除,更是引发全球网络安全威胁和风险的核心要素。而想要窥探安全漏洞的真实图像,数据是最客观的存在。
下面,零日就基于美国国家信息安全漏洞库(NVD)与报告多方数据,细数当前安全漏洞整体群像的五大特征:
特征1:庞大体量的公开漏洞
行业公认每千行代码存在70+个bug,漏洞之于网络,像人体细菌一般的存在。
美国国家信息安全漏洞库(NVD)存储着全球体量最大的公开漏洞资源,从1999年至2019年披露数据来看,在经历了三次倍增式跃升后,确认新增披露漏洞总量已超13万。NVD数据作为一个标志,意味着现阶段存在着庞大体量的公开漏洞。
(1999年至2019年NVD新增的披露漏洞数量)
特征2:漏洞修复工作耗时长
人人皆知有洞就要补,但执行起来却不是易事,仅耗时上就需要大量时间。Kenna Security整理了数百家厂商漏洞修复耗时数据显示,仅有45%的漏洞可在30天内快速修复,63%的漏洞在90天内完成修复,还有20%的漏洞会在设备系统上“裸奔”长达一年以上。
(厂商和漏洞修复整体速度)
而导致漏洞修复周期长的因素,一方面取决于漏洞本身的复杂性,另一方面则要看厂商的重视程度。总之漏洞越复杂越难补。当然,也存在公司消极修补漏洞的情况。
(安全研究员在公司拒绝修补后披露四个IBM零日漏洞)
特征3:无法修复所有漏洞
漏洞规模、修补耗时以及修补的复杂性,最终呈现的结果就是无法持续修复所有漏洞。对比近两年数百个厂商环境中,发现漏洞数量与修复漏洞的平均数值来看,有效解决的漏洞保持在10%左右。
(每月发现漏洞与已修复漏洞平均数量)
并不乐观的数据显示,存在着一定程度的漏洞,未被有效修复。当然,微软、苹果等巨头厂商的漏洞修复比率,远远高于这一数据,零日会在后面具体介绍。
特征4:存在无需立即修复漏洞
并不是所有的漏洞都能被修复,那我们是不是已与安全背道而驰?先淡定,因为从披露漏洞的“风险矩阵”来看,千万万万的漏洞中,只有5%的漏洞代码被审计出来且真正实际利用,从而引发安全危机,换句话说,除了高危且易于被利用的漏洞外,其实存在无需马上立即修复的漏洞。
像我们常说的0day漏洞,也就是零时差漏洞,就是典型高危漏洞的代表,而路径泄露漏洞等则是低风险漏洞中的代表。厂商其实会根据漏洞的威胁等级,进行不同时效的响应。
但,零日想插一嘴,绝大部分的漏洞可能终身不被利用,它们更像是世界上的火山,始终处于“休眠”状态。你要赌的是某一个漏洞永远不会爆,而一旦爆发就是末日灾难,你敢赌吗?
特征5:高风险漏洞必须及时修复
不能赌,用“看人下菜碟”形容厂商修复漏洞的机制,其实非常合适。但是,从数百家厂商的漏洞修复数据来看,51%的高危漏洞都会第一时间予以处理,也只有16%的漏洞会被一拖到底。对厂商或者说普通用户来说,可怕的不是对漏洞置之不理,而是错过高危漏洞。
(厂商高危漏洞修补能力)
漏洞群像下的安全边界
漏洞的冰山不会融化,不会消除且持续扩大,但威胁却并非完全不可控。在挖与修的循环往复中,我们同样可以在数据中看到安全的边界。
(1)漏洞分布密度与安全
提及漏洞,常有人将漏洞***简单地与漏洞总量划等号,但实际却是漏洞总量、分布密度,并不等于安全威胁的大小。2013年既已独占操作系统市场九成的微软,可以说同样拥有着最大比重的安全漏洞。
综合微软、苹果各厂商的漏洞总量与分布密度,会发现微软漏洞分布密度是苹果的三倍,且数值位居第一名,这意味微软最危险吗?
(各厂商漏洞密度分布)
再就是,数据显示已成为市场主流的windows10 PC拥有14个高危漏洞,也就是Forbes新闻用以做噱头,鼓吹漏洞***的数据,而这意味着windows10最危险吗?
(高风险漏洞密度)
不可否认,漏洞密度越低通常代表着越安全,但密度越高却不一定意味着安全性越差。因为漏洞总量与密度分布,并不代表漏洞就一定被利用,且漏洞密度的背后也意味着白帽群体的奋战力度。
(2)漏洞修复率与安全
某程度而言,漏洞总量是潜在威胁的基本盘面,这时厂商的漏洞修复率其实更能代表安全。上一小节中,漏洞总量遥遥领先的微软,在漏洞修复率上同样一马当先,也就是说高修复率补足了最多漏洞的隐患。
(各厂商漏洞修复率比较)
数据说明,微软漏洞修复率高达83%,而当细分到系统时候,微软系漏洞修复率的优势,则更为鲜明。
(高危漏洞数量与修复率)
(3)漏洞修复速度与安全
修复率之外,漏洞修复速度是衡量安全的另一因素。说白了,就是谁修复漏洞的速度最快,谁就更有安全保障。从统计数据来看,微软平均会在36天内完成半数漏洞的修复,而达到同一数量漏洞修复的速度,苹果是70天,Linux/Unix则需要256天。
谁的安全更具保障,不言而喻。
(漏洞修复速度比较)
而从细分数据来看,Windows 10漏洞修补速度最快,Windows XP最慢,这也吻合了当前微软主推Windows 10, Windows XP停服多年的情况。
(4)漏洞修补能力与安全
修复率与修复速度之外,真正能够判定漏洞修补能力的,是给定时间范围内新漏洞和已关闭漏洞比率。在第一板块零日说微软、苹果等巨头厂商的漏洞修复比率,远高于平均值,接下来的数据就是最好的证明。
(每月关闭的漏洞比例中位数)
整体来看,微软给定时间范围内新漏洞和已关闭漏洞比率高达25.3%,至于前文重点强调的高危漏洞,微软苹果则更为积极,微软的补救能力提升至31.8%。
(厂商高风险补救能力比较)
(5)漏洞赏金与安全
一个人的力量是有限的,厂商单*匹马的挖洞补洞同样如此。这也就让漏洞赏金计划是当前厂商的重要安全策略之一。厂商们通过赏金的方式,邀请全球安全从业者共同挖洞,一方面降低成本负担,另一方面则极大的补充了厂商自身的不足。
(微软2019 MSRC全球最具价值安全精英榜)
因为5%的漏洞利用威胁,所有人都被迫开启了一场旷日持久的“漏洞挖掘战”。不过,从漏洞赏金计划的成果来看,众人的力量极大地提速了厂商的漏洞修复,也就是安全能力。
零日反思
在极端组织,甚至国家级黑客频频利用安全漏洞,从而发起可怕的网络攻击下,人们已逐渐将漏洞与高危划等号,将其视为网络安全“****”一般的存在。但数据告诉我们,真正高危的漏洞只是极小一部分,而安全厂商旷日持久的漏洞攻防挖掘战,为的就是排查出真正会爆炸的5%。
零日情报局作品
微信公众号:lingriqingbaoju
如需转载,请后台留言
欢迎分享朋友圈
参考资料:
[1]KennaSecurity《Volume 5: In Search ofAssets at Risk》
