• 基礎設施安全

  • 數據安全

  • 云計算安全

  • 工控安全

  • 物聯網安全

  • 信息技術應用創新

  • 全部產品

  • 全部解決方案

基礎設施安全


  • 政府

  • 運營商

  • 金融

  • 能源

  • 交通

  • 企業

  • 教育

  • 醫療

返回列表

《漏洞發展趨勢報告》發布

2020-05-21

近日,綠盟科技發布《漏洞發展趨勢報告》,以NVD為數據源,對1999-2019年的漏洞數據進行回顧分析,結合綠盟威脅情報中心監測到的漏洞利用攻擊事件,從通用系統、軟件的漏洞呈現情況,總結了20年來漏洞研究及利用的趨勢,并對近幾年新興的移動、物聯網設備等領域的漏洞發展進行回顧和展望。

 

三張圖,解讀漏洞發展趨勢

歷年漏洞數量統計

截至2019年底,NVD數據庫共收錄漏洞信息138909條。2019年的漏洞數量同比1999年,增長了9.62倍。

漏洞的 CVSS V2.0 分布

截止 2019 年底共有 130937 條漏洞分配了 CVSS V2.0 等級,中危漏洞占 56.06%,高危漏洞占據 35.22%。 

 

TOP20 CWE 漏洞類型

跨站腳本 (CWE-79) 類型的漏洞數量以 12911 條占據第一。

攻擊者眼中,十年以上“高齡”漏洞依舊“好使”

 

攻擊事件使用到的漏洞按年分布

 

攻擊者關注穩定、高效的漏洞利用技術,在漏洞的選擇上追求易用性、時效性以及是否能獲取目標控制權限的攻擊能力??梢钥吹?,即使是在 2019 年,十年以上的高齡漏洞仍然占據了相當大的比例,說明互聯網上依然存在著大量長期未更新的軟件和系統。

警惕!利用文件格式漏洞的魚叉式釣魚攻擊

文檔類型漏洞分布

通過對APT攻擊的研究發現,利用文件格式漏洞的魚叉式釣魚攻擊已成為網絡安全的主要威脅之一。PDF、doc(x)、xls(x)、ppt(x) 等文件格式具有跨平臺、應用范圍廣、用戶基數大的特點,受到了攻擊者的持續關注,目標主機上的相應程序一旦存在安全漏洞就會被輕易攻破。

開源軟件面臨漏洞利用和軟件供應鏈的雙重攻擊

 

常見開源軟件的漏洞數量

開源軟件具有開放、免費、功能靈活等特點,得到了越來越廣泛的應用,但是安全問題仍然普遍存在。公開的利用代碼在短時間內被集成到成熟的攻擊框架或木馬程序中,進一步降低了漏洞利用的門檻,而從漏洞公布到被攻擊者大規模利用的時間窗口也在進一步縮短,給安全廠商防護能力帶來了更大的挑戰。

針對軟件供應鏈的攻擊,成為面向軟件開發人員和供應商的一種新興威脅。針對軟件供應鏈的攻擊在傳播速度上更快、影響范圍更廣、危害更大,同時也更隱蔽。軟件開發商應該制定軟件供應鏈標準、規范,遵循安全的開發流程,定期組織軟件供應鏈攻防演練競賽,定期對自身網站、軟件等進行檢測與加固,以減少受到此類攻擊的風險。

物聯網安全的價值不應只在受到威脅時才被重視

據市場研究公司 Gartner 稱, 2016 年全球物聯網設備數量為 64 億,2020 年將達到 204 億 ,增長 218.75%,但是目前物聯網建設過程中考慮到信息安全的產品極少,絕大部分是“裸奔”狀態。

2019年 TOP10 物聯網漏洞利用數量

面對物聯網的威脅,設備制造商應當重視設備的安全,指定安全的開發流程,對設備進行全面的安全測試。對于默認密碼的問題,應當在用戶第一次使用的時候,強制讓用戶修改密碼,并檢查用戶密碼的安全性,禁止設置弱密碼。對使用周期較長的設備,定期提供可更新的固件,以確保設備的安全性。

總結:“安全左移”,從源頭上減少漏洞的產生

安全是一個攻與防的過程,未知攻焉知防,只有在了解各種攻擊技術和手段后才能采取更加有效的防御策略,從而避免安全事件的發生。軟件開發人員不僅需要熟練的編程技巧,還需要重視“安全左移”,即在開發階段進行安全加固、代碼審計,將安全屬性融入到軟件的開發過程中,從源頭上減少漏洞的產生。 

安全研究人員需要加強系統漏洞及防護技術等方面的學習,不斷深入研究新的漏洞挖掘和利用技術,挑戰各種漏洞的緩解措施,先攻擊者一步掌握最新的攻擊技術,才能與安全廠商攜手,進一步提高系統和應用的安全防護水平。

下載鏈接:

http://blog.nsfocus.net/wp-content/uploads/2020/05/Vulnerability-Development-Trend.pdf

<<上一篇

“兩會”重保,綠盟為您安全護航

>>下一篇

綠盟科技入選江蘇省“網安2020”網絡安全保障行動檢查服務機構名單
?

您的聯系方式

*姓名
*單位名稱
*聯系方式
*驗證碼
提交到郵箱

購買熱線

  • 購買咨詢:

    400-818-6868-1

  • 服務熱線:

    010-68438880-5069

  • 投訴專線:

    010-59610080

提交項目需求

歡迎加入綠盟科技,成為我們的合作伙伴!
  • *請描述您的需求
  • *最終客戶名稱
  • *項目名稱
  • 您感興趣的產品
  • 項目預算
您的聯系方式
  • *姓名
  • *聯系電話
  • *郵箱
  • *職務
  • *公司
  • *城市
  • *行業
  • *驗證碼
  • 提交到郵箱

微博

微信

服務熱線

400-818-6868

服務時間

7*24小時

? 2020 NSFOCUS 綠盟科技 www.nsfocus.com All Rights Reserved . 京公網安備 11010802021605號 京ICP備14004349號 京ICP證110355號

每天读点故事如何赚钱 钱程无忧 正版平特一肖图 上海11选5一定牛走势图 河北排列7计划 山西休彩11选五走势图 黑龙江6+1开奖结果查询今天 福建体彩36选7走势图手机 谁有3d杀码最准方法 湖北30选5开奖 sizzler 时时乐