安全麵臨新態勢 漏洞成為“眾矢之的” 來源: 網絡 發表時間: 2017-07-14

回顧2017年的多起重大安全事件,AG8AG不得不給出這樣一個觀點,即安全漏洞日趨增長,危害性越來越高,導致安全漏洞已經成為目前網絡安全領域中的最大焦點。同時,這一觀點也在眾多安全廠商之間達成共識,大家紛紛推出各自的應對措施,下麵就讓AG8AG來綜合的看一看目前安全漏洞的主要發展態勢及主要應對手段。


15198676171538.jpg 


安全漏洞成倍增長

    據NVD(美國國家漏洞數據庫)最新數據表明,2017年全年新增漏洞數量14643個,有史以來第一次突破了1萬大關。而2016年該項數據僅為6447個,可見2017年新增漏洞數量較2016年增長超過了一倍。


而在國內方麵,2017年5月由國家計算機網絡應急技術處理協調中心發布的《2016年中國互聯網網絡安全報告》中指出,2016年國家信息安全漏洞共享平台(CNVD)共收錄通用軟硬件漏洞10822個,較2015年漏洞收錄總數8080個,環比增加了33.9%。


此外,隨著雲計算、大數據、人工智能、物聯網、移動支付等互聯網新興技術的不斷出現,安全漏洞激增的這一態勢也將愈演愈烈,無論從所波及範圍,還是危害程度都將成倍增加。從2017年的數據泄露、網絡攻擊事件中所呈現出的整體狀態來看,安全漏洞所帶來的巨大隱患不容小視,這也讓眾多安全廠商麵臨著一場前所未有的安全挑戰。


從另一方麵來看,人工智能、大數據等新興技術的迅猛發展,也為漏洞挖掘提供了更高效的手段,利用自動化漏洞挖掘工具替代人工漏洞挖掘工作使得發現新漏洞比以往更加容易。因此,國內外權威漏洞平台在2017年公布的漏洞數量出現了一個跨越式的增長。


安全漏洞之殤


從2017年初的“永恒之藍”漏洞,再到年底曝出的“Meltdown”和“Spectre”CPU漏洞,可以說2017年的安全領域給人的印象就是“千瘡百孔”,很多遺存的漏洞都在這一年中被暴露出來,而且還都造成了比較可觀的影響及後果。


以出現頻率和造成危害最嚴重的“零日”漏洞為例,先後就有多個高危的Office漏洞被曝出,其中很多已經被APT組織所利用。而供求關係決定了其漏洞價值,從國際知名的0Day漏洞掮客ZERODIUM給出的漏洞支付價格就可以看出,移動終端係統以及應用漏洞的價格明顯高於傳統桌麵、服務器操作係統的漏洞價格。


值得注意的是,從相關交易記錄來看,漏洞買家對於新興領域的漏洞更感興趣,也更搶手。從2013-2016年國內權威漏洞機構CNVD所收錄的移動互聯網行業漏洞3409個,工業控製行業漏洞559個就可見一斑。


安全漏洞應對之策


目前,包括安全研究機構、互聯網公司、網絡安全廠商在內,甚至黑產對安全漏洞的重視程度都在提高。同時,大家也都在加大對漏洞的相關研究力度和投入。據Gartner預測,2018年全球安全支出將達到960億美元,比2017年增長8%。麵臨如此嚴峻的網絡安全形勢,除了在政策法規層麵不斷完善和規範之外,AG8AG又將如何更好的去管理和彌補漏洞帶來的威脅呢?


從對漏洞攻擊的長期觀察來看,一般基於漏洞的攻擊形式都將經曆發現、利用、危害,最後逐漸消亡的一個周期,這也是漏洞的生命周期。而漏洞的生命周期對於漏洞的應急處置有著非常重要的意義,因為幾乎所有的安全產品都會圍繞這一周期進行多維度的防護來應對漏洞攻擊。


AG8AG從“震網”事件中“0Day漏洞攻擊”的高發區可以看出,目前工業控製係統的漏洞已經被眾多黑客組織所“相中”,因此工業控製係統用戶應該加大對所使用的工控設備、協議等漏洞防護的投入和力度,主動去挖掘工業控製係統中可能存在的漏洞,明確漏洞形成的機理和相應的攻擊方式,為漏洞的彌補提供有效信息,保障工業控製係統的安全可靠運行。


另外,用戶及時從廠商獲取漏洞補丁,進行係統性的修複工作仍然是十分重要的,但這也不能完全避免類似的攻擊出現。因此,在條件允許的情況下,企業應當盡可能建立起一套完整的安全防護體係,其中至少應該包括漏掃、預警、跟蹤、管理等一係列手段,讓漏洞響應機製逐漸形成規範和標準,從而為企業發展營造一個更加健康的發展環境。