C114讯 6月19日消息(高娟)安全无小事!唯有不放过每一个针尖大的漏洞,才能将所有风险消除在萌芽状态。
日前,绿盟科技发布《漏洞发展趋势报告》(以下简称《报告》),以NVD为数据源,对1999-2019年的漏洞数据进行回顾分析,结合绿盟威胁情报中心(NTI)监测到的漏洞利用攻击事件,总结了20年来漏洞研究及利用的趋势,情况不容乐观。
绿盟科技威胁情报与网络安全实验室高级技术总监、天枢实验室负责人范敦球在接受C114采访时表示,漏洞安全形势非常严峻,2019年的漏洞数量同比1999年,增长了9.62倍。同时,范敦球指出,5G时代漏洞存于两大“风险区”。
漏洞数量激增9.6倍:“安全左移”成药方
随着计算机网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。
软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件的发生。对软件开发商来说,通过对漏洞的研究,可以帮助开发人员把更多的精力放在安全开发过程中需要注意的关键技术上,开发出高质量的软件。
《报告》数据显示,截至2019年底,NVD数据库共收录漏洞信息138909条。2019年的漏洞数量同比1999年,增长了9.62倍。这也意味着,漏洞安全形势非常严峻。
.jpg)
数据来源:绿盟科技《漏洞发展趋势报告》
“软件及其系统中的漏洞是导致信息安全问题的根源所在,如何减少安全漏洞已经成为了信息安全从 业人员的热门话题。”范敦球指出,“从目前看来,这一愿景与漏洞数量逐年增长的趋势相悖。”《漏洞发展趋势报告》指出,目前漏洞发展呈现了九大趋势:
漏洞数量呈现显著增长的总体趋势;操作系统被公开的漏洞中,开源操作系统占比相对更高,其安全性问题可能暴露的更充分;根据绿盟威胁情报中心(NTI) 显示,十年以上高龄漏洞在攻击事件中占比仍然高。
浏览器作为网络攻击的入口,漏洞种类复杂多样;利用文件格式漏洞的鱼叉式钓鱼攻击已成为网络安全的主要威胁之一,此类漏洞利用稳定性高,在APT攻击事件中屡见不鲜;Flash漏洞作为曾经的研究焦点,今后一段时间内,Flash漏洞并不会彻底消亡,还需继续关注。
与此同时,随着开源软件开发模式的兴起,针对软件供应链的攻击成为面向软件开发人员和供应商的一种新兴威胁;近些年来社会各界对移动应用的漏洞关注度逐渐提高;物联网设备数量增长迅速,设备厂商应该重视并加强自身产品的安全。
面对如此严峻的发展趋势,企业又将如何避免安全漏洞安全的出现呢?对此,范敦球认为,“安全左移”可以从源头上尽量减少漏洞的产生。“安全左移”就是在软件开发、甚至设计的过程中就开始关注安全,将安全作为软件的一个功能、属性进行考虑,而不是附属。
网络安全的本质是攻与防的对抗,未知攻焉知防,只有在了解了各种攻击技术和手段后才能采取更加有效的防御策略,从而避免安全事件的发生。
“当前的项目开发中,不少项目都是先进行生产功能的实现,测试生产功能没有问题后,直接上线或者再考虑一些边界安全问题。这样的问题在于,虽然可以通过对程序的输入进行严格的校验,避免攻击的发生。但是程序内部中的一些逻辑问题及潜在的安全问题都没有机会被发现,一旦被外部攻击者或用户有意或无意的触发,将造成直接影响。”范敦球强调,只有将安全作为软件的固有功能和属性从设计之初就加以考虑的话,可以部分避免安全漏洞的出现。
5G时代,漏洞存于两大“风险区”
当前,全球新一轮科技革命和产业变革加速发展,5G作为新一代信息通信技术演进升级的重要方向,是实现万物互联的关键信息基础设施、经济社会数字化转型的重要驱动力量。
世界很多国家都把5G作为经济发展、技术创新的重点,将5G作为谋求竞争新优势的战略方向。根据全球移动供应商协会(GSA)统计,截至2019年底,全球119个国家或地区的348家电信运营商开展了5G投资,其中,61家电信运营商已经推出5G商用服务。
“每个硬币都有两面”。5G技术造福社会、造福人民的同时,也引发了新的网络安全风险。在范敦球看来,5G时代的漏洞会分成两类:
一类是如5G核心网、边缘计算、人工智能推理引擎等新型基础设施的自身漏洞,这部分漏洞如被利用,可能会造成整个系统出现灾难性的后果;
另一类是基于新型基础设施之上的第三方应用的业务漏洞,如边缘计算支撑的智能交通、智慧医疗应用的漏洞,而这类漏洞则会影响到具体应用的安全性,也可能会造成严重影响,关系到人身安全、生产安全、社会安定等。
“随着5G的推进,后一类的漏洞不会减少,相反可能会呈现快速增加的趋势。”范敦球指出,作为安全厂商和安全服务提供商,绿盟科技会持续与运营商一起紧密配合。
一方面,绿盟科技将对新型基础设施的安全性进行持续评估,使用新技术作为防护、检测和响应的防守武器,减少核心系统的暴露面,提升整体基础设施的健壮性;另一方面,绿盟科技也积极帮助运营商提供安全增值服务,协助其用户提高应用安全性。
未雨绸缪,堵住“开源”与“物联网”漏洞
随着5G进程的推进,边缘计算、AI和开源架构的混合云等技术扮演越来越重要的角色。实际上,虚拟化、云计算、云原生以及边缘计算等这些创新的技术和应用都是发轫于开源。
“开源软件面临漏洞利用和软件供应链的双重攻击。”范敦球指出,开源软件具有开放、免费、功能灵活等特点,得到了越来越广泛的应用,但是安全问题仍然普遍存在。公开的利用代码在短时间内被集成到成熟的攻击框架或木马程序中,进一步降低了漏洞利用的门槛,而从漏洞公布到被攻击者大规模利用的时间窗口也在进一步缩短,给安全厂商防护能力带来了更大的挑战。
.png)
常见开源软件的漏洞数量
数据来源:绿盟科技《漏洞发展趋势报告》
针对软件供应链的攻击,成为面向软件开发人员和供应商的一种新兴威胁。针对软件供应链的攻击在传播速度上更快、影响范围更广、危害更大,同时也更隐蔽。软件开发商应该制定软件供应链标准、规范,遵循安全的开发流程,定期组织软件供应链攻防演练竞赛,定期对自身网站、软件等进行检测与加固,以减少受到此类攻击的风险。
范敦球进一步补充道:“除了开源的安全形势比较严峻之外,物联网安全的问题也该重点关注,不应只在受到威胁时才被重视。”
Gartner报告指出,2016年全球物联网设备数量为64亿,2020 年将达到204亿 ,增长218.75%,但是目前物联网建设过程中考虑到信息安全的产品极少,绝大部分是“裸奔”状态。
“物联网相关的漏洞层出不穷,早在2016年针对路由器等物联网设备的Mirai病毒就使美国东海岸的大量重要网络服务瘫痪,近年来其危害一直不减。”范敦球认为之所以出现这种问题在于两方面:一是物联网厂商安全意识不强,没有投入足够资源进行安全开发,也限于成本没有增强硬件和软件的安全性;二是物联网设备数量巨大、缺乏安全升级机制,一旦暴露在互联网上且被利用,则很难修复,造成物联网威胁经久不息。
面对物联网的威胁,如何未雨绸缪?
范敦球认为,设备制造商应当重视设备的安全,指定安全的开发流程,对设备进行全面的安全测试。对于默认密码的问题,应当在用户第一次使用的时候,强制让用户修改密码,并检查用户密码的安全性,禁止设置弱密码。对使用周期较长的设备,定期提供可更新的固件,以确保设备的安全性。
基于以上背景,绿盟科技与运营商合作,提出了物联网安全解决方案,在设备出厂前就部署安全SDK的方式,结合云端安全监控,提供了安全加固、安全升级、异常检测和访问控制等一些列安全机制;通过物联网安全网关与云端协同的方式,为出厂后的物联网设备也提供了响应的检测和防护机制。
范敦球透露,目前绿盟的物联网安全解决方案已经在多个主流运营商得到了应用,有望提升运营商渠道物联网设备的整体安全水平。同时,绿盟科技格物实验室也对互联网上面向物联网的资产、脆弱性和威胁进行持续监控,相关的信息已融入到绿盟威胁情报服务,具备了第一时间的物联网安全预警能力。此外,绿盟科技多次在业界首次捕获并发布针对物联网设备的攻击活动,深入研究了物联网资产的分布、变化态势,得到了主管机构和行业客户的关注和认可。
