近日,绿盟科技公布《漏洞发展趋向汇报》,以NVD为数据库,对1999-2019年的漏洞数据信息开展回望剖析,融合启明星辰威胁情报管理中心检测到的漏洞利用攻击事情,从通用性系统软件、软件的漏洞展现状况,小结了20年来漏洞科学研究及利用的发展趋势,并对近些年新起的挪动、物联网设备等行业的漏洞发展趋势开展回望和未来展望。
往年漏洞总数统计分析
截止2019年底,NVD数据库查询收录于漏洞信息内容138909条。2019年的漏洞总数同期相比1999年,提高了9.62倍。
?
漏洞的 CVSS V2.0 遍布
截至 2019 年末现有 130937 条漏洞分派了 CVSS V2.0 级别,中危漏洞占?56.06%,高风险漏洞占有?35.22%。
TOP20 CWE 漏洞种类
跨站脚本制作?(CWE-79) 种类的漏洞总数以 12911 条占有第一。
攻击事情应用到的漏洞按年遍布
攻击者关心平稳、高效率的漏洞利用技术性,在漏洞的挑选上追求完美便捷性、及时性及其是不是能获得总体目标操纵管理权限的攻击工作能力。能够 见到,即便 是在 2019 年,十年之上的大龄漏洞依然占有了非常大的占比,表明互联网技术上仍然存有着很多长期性未升级的软件和系统软件。
当心!利用格式文件漏洞的渔叉式垂钓攻击
文本文档种类漏洞遍布
根据对APT攻击的研究发现,利用格式文件漏洞的渔叉式垂钓攻击已变成网络信息安全的关键威协之一。PDF、doc(x)、xls(x)、ppt(x) 等格式文件具备混合开发、运用覆盖面广、客户数量大的特性,遭受了攻击者的不断关心,总体目标服务器上的相对应程序流程一旦存有安全性漏洞便会被随便攻克。
普遍开源系统软件的漏洞总数
开源系统软件具备对外开放、完全免费、作用灵便等特性,获得了愈来愈普遍的运用,可是安全隐患依然普遍现象。公布的利用编码在短期内内被集成化到完善的攻击架构或恶意代码中,进一步减少了漏洞利用的门坎,而从漏洞发布到被攻击者规模性利用的周期时间也在进一步减少,给安全性生产商安全防护工作能力产生了更高的挑戰。
对于软件供应链管理的攻击,变成朝向软件开发者和经销商的一种新起威协。对于软件供应链管理的攻击在快速传播上迅速、危害范畴更广、伤害更高,另外也更隐敝。软件房地产商应当制订软件供应链管理规范、标准,遵照安全性的开发流程,按时机构软件供应链管理防御演习比赛,按时对本身网址、软件等开展检验与结构加固,以降低遭受该类攻击的风险性。
物联网安全的使用价值不可只在遭受威协时才被高度重视据市场调研企业 Gartner 称, 2016 年全球物联网机器设备总数为 64 亿,2020 年将做到 204 亿 ,提高 218.75%,可是现阶段物联网技术基本建设全过程中充分考虑网络信息安全的商品非常少,绝大多数是“裸跑”情况。
?2019年 TOP10 物联网技术漏洞利用总数
应对物联网技术的威协,机器设备生产商理应高度重视机器设备的安全性,特定安全性的开发流程,对机器设备开展全方位的安全性测试。针对默认设置登陆密码的难题,理应在客户第一次应用的情况下,强制性让客户更改密码,并检查用户登陆密码的安全系数,严禁设定明文密码。对应用周期时间较长的机器设备,按时出示可升级的固定件,以保证机器设备的安全系数。
小结:“安全性偏移”,从根源上降低漏洞的造成安全性是一个攻与防的全过程,不明攻焉知防,仅有在掌握各种各样攻击技术性和方式后才可以采用更为合理的防御力对策,进而防止安全事故的产生。软件开发者不但必须娴熟的程序编写方法,还必须高度重视“安全性偏移”,即在设计阶段开展安全性结构加固、代码审计,将安全性特性融进到软件的开发设计全过程中,从根源上降低漏洞的造成。
安全性科学研究工作人员必须提升系统软件漏洞及安全防护技术性等层面的学习培训,逐步推进科学研究新的漏洞发掘和利用技术性,挑戰各种各样漏洞的减轻对策,先攻击者一步把握全新的攻击技术性,才可以与安全性生产商携手并肩,进一步提高系统软件和运用的安全防范水准。
http://blog.nsfocus.net/wp-content/uploads/2020/05/Vulnerability-Development-Trend.pdf
