安全公司 Risk Based Security (RBS)报告称,2018年共披露了22,022个安全漏洞,且该数字在报告发布后还将继续大幅增长。以去年为例,RBS最初报告称2017年披露了20,832个漏洞,但计入报告完成后新发现的漏洞,这个数字达到了22,230。
RBS漏洞情报副总裁 Brian Martin 表示,从统计结果看,公司企业今年仍需保持警惕。
曝出的漏洞依然很多,各类软件都有影响。公司企业无论规模如何,都需对漏洞保持警惕,持续增强漏洞检测分诊过程。
与最近几年的情况类似,2018年报告的所有安全漏洞中,Web相关漏洞占据了几乎半壁江山(47.9%) 。约27.5%是与访问身份验证有关的漏洞,3.5%属于SCADA漏洞——比2017年增长一倍。
输入验证漏洞,比如SQL注入错误、跨站脚本、缓冲区溢出和指令注入,再次成为年度漏洞披露主流。2018年里,超过2/3的漏洞与输入验证不足或不恰当有关,表明开发人员仍未解决这一长期霸占OWASP十大漏洞榜首的安全问题。漏洞奖励项目贡献了2018年被披露漏洞中的8%,相比上一年的5.8%略有提升。
2018年披露的所有漏洞中,约33%的严重性评分高于7分。其中近1/3有公开的漏洞利用程序,约一半是可远程利用的。但严重性评分在9分到10分的高安全风险软件漏洞却连续第三年占比下降,为13.6%。
个中缘由可能只是因为研究人员披露了更多低风险漏洞。如果研究人员更多披露跨站脚本、跨站请求伪造或路径泄露等风险评分低于9.0分的低风险漏洞,那么即便高风险漏洞的实际数量有所增长,其占比也会被低风险漏洞所稀释。
也有可能某些高风险安全漏洞被有意隐瞒不报——尽管此数量可能非常有限。虽然有些政府确实会留存评分在9.3或10分的零日安全漏洞,但这种有意瞒报的漏洞数量不会太多。
需要指出的是,RBS报告显示:仅依靠CVE或国家漏洞数据库(NVD)获取漏洞信息的公司企业正错失大量漏洞。比如说,RBS自己的漏洞数据库就比NVD多出6,780条漏洞记录,且其中近46%的漏洞严重性评分都在7分或以上。其他安全公司也注意到了相同的问题。2017年,Recorded Future 所做的研究表明,超过75%的漏洞在被NVD收录之前就在网上公开披露了。
让公司企业备受困扰的是,数据显示,2018年披露的漏洞中近三成(27.1%)没有已知或可用补丁。因此,深度防御模型是公司企业必备。公司企业的防御目标应该是运用访问控制列表(ACL)、网络分隔、入侵检测系统(IDS)和入侵防御系统(IPS)等技术,令脆弱系统更难以被攻击者触及。