零日漏洞已成新常态?

微软研究显示,2017年每个被利用的Windows漏洞都是从零日攻击开始的。其他研究表明该趋势横跨整个IT领域。

IT安全界传统观点认为零日漏洞利用很稀少,我们更需关注构成攻击主体的非零日漏洞。但2月7日的微软蓝帽大会( Blue Hat )上,微软安全研究员 Matt Miller 以微软Windows开发及防御演变为主题的精彩报告,挑战了这一传统认知。

Miller收集到的数据显示零日漏洞实际上已成当今IT领域常态,非零日漏洞正随时间进程变得不那么常见。2017年,每个被利用的微软漏洞都是从零日攻击开始的。2012年,这一比例是52%;2008年是更低的21%。

毫无疑问,调查结果引发了广泛讨论。如果错误理解了Miller的发现,人们可能会质疑:如果绝大部分漏洞都没有补丁,修复操作还有什么价值呢?但单一的数据是说明不了问题的,防御的构建不能仅以一个数据点做为基础。下面我们就来看看为什么不能仅以Miller的数据当做部署防御的依据。

大多数漏洞都没被利用

尽管现在每年新发现的公开漏洞都在1.5万个以上,但其中大多数其实是从未被利用过的。Miller的数据也表明,仅仅0.02%(588个 Windows CVE 中的12个)是被活跃利用的。其他风险管理公司也证实了这一点,比如 Kenna Security 就称,仅0.6%的CVE(不仅仅是 Windows CVE)曾出现过野生的漏洞利用情况。

所以,用户无需担心大多数披露出来的漏洞,只需关注少数几个有野生漏洞利用的即可。也就是说,与其试图泛泛修复1.5万个潜在漏洞,不如专注完美修复90个相关漏洞。如果你只关注微软Windows补丁,这意味着600个已公布Windows漏洞中你只需要重点关注12个就够了。哪几个呢?那些有公开漏洞利用代码的。

这一标准决定了是否需要应用补丁。Computerworld的 Woody Leonhard 甚至认为,就Miller的数据揭示出来的东西而言,大部分微软补丁都不需要一经推出就立即应用。

不过,在何时应用微软补丁上,大家见仁见智,越快应用越好的想法也很有市场。数据显示,大部分风险都不是出现在补丁刚放出的那几天里。所以,非高风险环境中,是可以稍微等几天,确保所有漏洞已找出且被其他早期补丁采纳者解决之后,再应用补丁。

首次被利用不等于被利用得多

Miller的数据确实表明,大部分被利用的Windows漏洞都是作为零日漏洞被首次应用到目标公司身上,这一点很是令人惊讶。但是,零日攻击之后该漏洞的被利用频次如何,就不是能从他的数据“臆测”的了。

Miller的数据仅仅揭示首日和头30天里被利用的漏洞,并未呈现30天之后发生了什么。而且更重要的是,这几个时间段里的被利用频次也未涉及。

比如说,假设零日漏洞在首日被用到了某家公司的35台设备上,但只要漏洞利用代码被公开,接下来的几年内将会有数百万设备受害。Miller的数据并未显示各时间段里设备所承受的总体风险程度。但无论新漏洞利用被披露的方式如何(零日或经由相应的补丁发布),都没有考虑到漏洞可导致的整体风险。

零日漏洞成本上升

零日漏洞盛行的观点站不住脚:从最普遍的供需关系看,随着零日漏洞的普及,漏洞给其发现者所带来的利润必然减少。漏洞奖励项目为零日漏洞设的奖金倒是仍在走高。也就是说,零日漏洞,至少对攻击者而言好用的零日漏洞,只会越来越少。

漏洞根本不是你的首要问题

事实上,绝大多数成功恶意数据泄露都是因为社会工程的完美运用,而不是源自软件漏洞利用。每年各家安全或咨询公司给出的数据都不一样,但近10年来,社会工程方法,尤其是网络钓鱼,都已经取代软件漏洞,成为攻击者突破设备或网络的首要方式。在比较零日漏洞和非零日漏洞的时候,千万别忘了我们的最大问题并不是软件和硬件修复。

上一篇:聚变的前夜—RSAC2019流量安全产品观察

下一篇:剧透:英特尔CPU再曝漏洞