安全無小事!唯有不放過每一個(gè)針尖大的漏洞,才能將所有風(fēng)險(xiǎn)消除在萌芽狀態(tài)。
日前,以NVD為數(shù)據(jù)源,對(duì)1999-2019年的漏洞數(shù)據(jù)進(jìn)行回顧分析,結(jié)合綠盟威脅情報(bào)中心(NTI)監(jiān)測(cè)到的漏洞利用攻擊事件,總結(jié)了20年來漏洞研究及利用的趨勢(shì),情況不容樂觀。
綠盟科技威脅情報(bào)與網(wǎng)絡(luò)安全實(shí)驗(yàn)室高級(jí)技術(shù)總監(jiān)、天樞實(shí)驗(yàn)室負(fù)責(zé)人范敦球在接受C114采訪時(shí)表示,漏洞安全形勢(shì)非常嚴(yán)峻,2019年的漏洞數(shù)量同比1999年,增長(zhǎng)了9.62倍。同時(shí),范敦球指出,5G時(shí)代漏洞存于兩大“風(fēng)險(xiǎn)區(qū)”。
漏洞數(shù)量激增9.6倍:“安全左移”成藥方
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,全球互聯(lián)網(wǎng)體量急速膨脹,網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,國(guó)家政治、經(jīng)濟(jì)、 文化、社會(huì)及公民在網(wǎng)絡(luò)空間的合法權(quán)益面臨嚴(yán)峻挑戰(zhàn)。近些年來安全漏洞數(shù)量呈現(xiàn)遞增趨勢(shì),基于漏洞的網(wǎng)絡(luò)安全事件層出不窮,為我們敲響了信息安全攻防戰(zhàn)的警鐘。
軟件由于開發(fā)及設(shè)計(jì)等各方面的原因,存在漏洞在所難免。對(duì)安全研究人員來說,通過對(duì)漏洞發(fā)展 趨勢(shì)的研究,可以在攻擊者利用漏洞造成危害之前,提出及時(shí)有效的修補(bǔ)方案,盡可能的減少攻擊事件的發(fā)生。對(duì)軟件開發(fā)商來說,通過對(duì)漏洞的研究,可以幫助開發(fā)人員把更多的精力放在安全開發(fā)過程中需要注意的關(guān)鍵技術(shù)上,開發(fā)出高質(zhì)量的軟件。
《報(bào)告》數(shù)據(jù)顯示,截至2019年底,NVD數(shù)據(jù)庫共收錄漏洞信息138909條。2019年的漏洞數(shù)量同比1999年,增長(zhǎng)了9.62倍。這也意味著,漏洞安全形勢(shì)非常嚴(yán)峻。
“軟件及其系統(tǒng)中的漏洞是導(dǎo)致信息安全問題的根源所在,如何減少安全漏洞已經(jīng)成為了信息安全從 業(yè)人員的熱門話題?!狈抖厍蛑赋觯皬哪壳翱磥?,這一愿景與漏洞數(shù)量逐年增長(zhǎng)的趨勢(shì)相悖?!薄堵┒窗l(fā)展趨勢(shì)報(bào)告》指出,目前漏洞發(fā)展呈現(xiàn)了九大趨勢(shì):
漏洞數(shù)量呈現(xiàn)顯著增長(zhǎng)的總體趨勢(shì);操作系統(tǒng)被公開的漏洞中,開源操作系統(tǒng)占比相對(duì)更高,其安全性問題可能暴露的更充分;根據(jù)綠盟威脅情報(bào)中心(NTI) 顯示,十年以上高齡漏洞在攻擊事件中占比仍然高。
瀏覽器作為網(wǎng)絡(luò)攻擊的入口,漏洞種類復(fù)雜多樣;利用文件格式漏洞的魚叉式釣魚攻擊已成為網(wǎng)絡(luò)安全的主要威脅之一,此類漏洞利用穩(wěn)定性高,在APT攻擊事件中屢見不鮮;Flash漏洞作為曾經(jīng)的研究焦點(diǎn),今后一段時(shí)間內(nèi),F(xiàn)lash漏洞并不會(huì)徹底消亡,還需繼續(xù)關(guān)注。
與此同時(shí),隨著開源軟件開發(fā)模式的興起,針對(duì)軟件供應(yīng)鏈的攻擊成為面向軟件開發(fā)人員和供應(yīng)商的一種新興威脅;近些年來社會(huì)各界對(duì)移動(dòng)應(yīng)用的漏洞關(guān)注度逐漸提高;物聯(lián)網(wǎng)設(shè)備數(shù)量增長(zhǎng)迅速,設(shè)備廠商應(yīng)該重視并加強(qiáng)自身產(chǎn)品的安全。
面對(duì)如此嚴(yán)峻的發(fā)展趨勢(shì),企業(yè)又將如何避免安全漏洞安全的出現(xiàn)呢?對(duì)此,范敦球認(rèn)為,“安全左移”可以從源頭上盡量減少漏洞的產(chǎn)生?!鞍踩笠啤本褪窃谲浖_發(fā)、甚至設(shè)計(jì)的過程中就開始關(guān)注安全,將安全作為軟件的一個(gè)功能、屬性進(jìn)行考慮,而不是附屬。
網(wǎng)絡(luò)安全的本質(zhì)是攻與防的對(duì)抗,未知攻焉知防,只有在了解了各種攻擊技術(shù)和手段后才能采取更加有效的防御策略,從而避免安全事件的發(fā)生。
“當(dāng)前的項(xiàng)目開發(fā)中,不少項(xiàng)目都是先進(jìn)行生產(chǎn)功能的實(shí)現(xiàn),測(cè)試生產(chǎn)功能沒有問題后,直接上線或者再考慮一些邊界安全問題。這樣的問題在于,雖然可以通過對(duì)程序的輸入進(jìn)行嚴(yán)格的校驗(yàn),避免攻擊的發(fā)生。但是程序內(nèi)部中的一些邏輯問題及潛在的安全問題都沒有機(jī)會(huì)被發(fā)現(xiàn),一旦被外部攻擊者或用戶有意或無意的觸發(fā),將造成直接影響?!狈抖厍驈?qiáng)調(diào),只有將安全作為軟件的固有功能和屬性從設(shè)計(jì)之初就加以考慮的話,可以部分避免安全漏洞的出現(xiàn)。
5G時(shí)代,漏洞存于兩大“風(fēng)險(xiǎn)區(qū)”
當(dāng)前,全球新一輪科技革命和產(chǎn)業(yè)變革加速發(fā)展,5G作為新一代信息通信技術(shù)演進(jìn)升級(jí)的重要方向,是實(shí)現(xiàn)萬物互聯(lián)的關(guān)鍵信息基礎(chǔ)設(shè)施、經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型的重要驅(qū)動(dòng)力量。
世界很多國(guó)家都把5G作為經(jīng)濟(jì)發(fā)展、技術(shù)創(chuàng)新的重點(diǎn),將5G作為謀求競(jìng)爭(zhēng)新優(yōu)勢(shì)的戰(zhàn)略方向。根據(jù)全球移動(dòng)供應(yīng)商協(xié)會(huì)(GSA)統(tǒng)計(jì),截至2019年底,全球119個(gè)國(guó)家或地區(qū)的348家電信運(yùn)營(yíng)商開展了5G投資,其中,61家電信運(yùn)營(yíng)商已經(jīng)推出5G商用服務(wù)。
“每個(gè)硬幣都有兩面”。5G技術(shù)造福社會(huì)、造福人民的同時(shí),也引發(fā)了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在范敦球看來,5G時(shí)代的漏洞會(huì)分成兩類:
一類是如5G核心網(wǎng)、邊緣計(jì)算、人工智能推理引擎等新型基礎(chǔ)設(shè)施的自身漏洞,這部分漏洞如被利用,可能會(huì)造成整個(gè)系統(tǒng)出現(xiàn)災(zāi)難性的后果;
另一類是基于新型基礎(chǔ)設(shè)施之上的第三方應(yīng)用的業(yè)務(wù)漏洞,如邊緣計(jì)算支撐的智能交通、智慧醫(yī)療應(yīng)用的漏洞,而這類漏洞則會(huì)影響到具體應(yīng)用的安全性,也可能會(huì)造成嚴(yán)重影響,關(guān)系到人身安全、生產(chǎn)安全、社會(huì)安定等。
“隨著5G的推進(jìn),后一類的漏洞不會(huì)減少,相反可能會(huì)呈現(xiàn)快速增加的趨勢(shì)?!狈抖厍蛑赋觯鳛榘踩珡S商和安全服務(wù)提供商,綠盟科技會(huì)持續(xù)與運(yùn)營(yíng)商一起緊密配合。
一方面,綠盟科技將對(duì)新型基礎(chǔ)設(shè)施的安全性進(jìn)行持續(xù)評(píng)估,使用新技術(shù)作為防護(hù)、檢測(cè)和響應(yīng)的防守武器,減少核心系統(tǒng)的暴露面,提升整體基礎(chǔ)設(shè)施的健壯性;另一方面,綠盟科技也積極幫助運(yùn)營(yíng)商提供安全增值服務(wù),協(xié)助其用戶提高應(yīng)用安全性。
未雨綢繆,堵住“開源”與“物聯(lián)網(wǎng)”漏洞
隨著5G進(jìn)程的推進(jìn),邊緣計(jì)算、AI和開源架構(gòu)的混合云等技術(shù)扮演越來越重要的角色。實(shí)際上,虛擬化、云計(jì)算、云原生以及邊緣計(jì)算等這些創(chuàng)新的技術(shù)和應(yīng)用都是發(fā)軔于開源。
“開源軟件面臨漏洞利用和軟件供應(yīng)鏈的雙重攻擊?!狈抖厍蛑赋觯_源軟件具有開放、免費(fèi)、功能靈活等特點(diǎn),得到了越來越廣泛的應(yīng)用,但是安全問題仍然普遍存在。公開的利用代碼在短時(shí)間內(nèi)被集成到成熟的攻擊框架或木馬程序中,進(jìn)一步降低了漏洞利用的門檻,而從漏洞公布到被攻擊者大規(guī)模利用的時(shí)間窗口也在進(jìn)一步縮短,給安全廠商防護(hù)能力帶來了更大的挑戰(zhàn)。
常見開源軟件的漏洞數(shù)量
針對(duì)軟件供應(yīng)鏈的攻擊,成為面向軟件開發(fā)人員和供應(yīng)商的一種新興威脅。針對(duì)軟件供應(yīng)鏈的攻擊在傳播速度上更快、影響范圍更廣、危害更大,同時(shí)也更隱蔽。軟件開發(fā)商應(yīng)該制定軟件供應(yīng)鏈標(biāo)準(zhǔn)、規(guī)范,遵循安全的開發(fā)流程,定期組織軟件供應(yīng)鏈攻防演練競(jìng)賽,定期對(duì)自身網(wǎng)站、軟件等進(jìn)行檢測(cè)與加固,以減少受到此類攻擊的風(fēng)險(xiǎn)。
范敦球進(jìn)一步補(bǔ)充道:“除了開源的安全形勢(shì)比較嚴(yán)峻之外,物聯(lián)網(wǎng)安全的問題也該重點(diǎn)關(guān)注,不應(yīng)只在受到威脅時(shí)才被重視?!?/p>
Gartner報(bào)告指出,2016年全球物聯(lián)網(wǎng)設(shè)備數(shù)量為64億,2020 年將達(dá)到204億 ,增長(zhǎng)218.75%,但是目前物聯(lián)網(wǎng)建設(shè)過程中考慮到信息安全的產(chǎn)品極少,絕大部分是“裸奔”狀態(tài)。
“物聯(lián)網(wǎng)相關(guān)的漏洞層出不窮,早在2016年針對(duì)路由器等物聯(lián)網(wǎng)設(shè)備的Mirai病毒就使美國(guó)東海岸的大量重要網(wǎng)絡(luò)服務(wù)癱瘓,近年來其危害一直不減?!狈抖厍蛘J(rèn)為之所以出現(xiàn)這種問題在于兩方面:一是物聯(lián)網(wǎng)廠商安全意識(shí)不強(qiáng),沒有投入足夠資源進(jìn)行安全開發(fā),也限于成本沒有增強(qiáng)硬件和軟件的安全性;二是物聯(lián)網(wǎng)設(shè)備數(shù)量巨大、缺乏安全升級(jí)機(jī)制,一旦暴露在互聯(lián)網(wǎng)上且被利用,則很難修復(fù),造成物聯(lián)網(wǎng)威脅經(jīng)久不息。
面對(duì)物聯(lián)網(wǎng)的威脅,如何未雨綢繆?
范敦球認(rèn)為,設(shè)備制造商應(yīng)當(dāng)重視設(shè)備的安全,指定安全的開發(fā)流程,對(duì)設(shè)備進(jìn)行全面的安全測(cè)試。對(duì)于默認(rèn)密碼的問題,應(yīng)當(dāng)在用戶第一次使用的時(shí)候,強(qiáng)制讓用戶修改密碼,并檢查用戶密碼的安全性,禁止設(shè)置弱密碼。對(duì)使用周期較長(zhǎng)的設(shè)備,定期提供可更新的固件,以確保設(shè)備的安全性。
基于以上背景,綠盟科技與運(yùn)營(yíng)商合作,提出了物聯(lián)網(wǎng)安全解決方案,在設(shè)備出廠前就部署安全SDK的方式,結(jié)合云端安全監(jiān)控,提供了安全加固、安全升級(jí)、異常檢測(cè)和訪問控制等一些列安全機(jī)制;通過物聯(lián)網(wǎng)安全網(wǎng)關(guān)與云端協(xié)同的方式,為出廠后的物聯(lián)網(wǎng)設(shè)備也提供了響應(yīng)的檢測(cè)和防護(hù)機(jī)制。
范敦球透露,目前綠盟的物聯(lián)網(wǎng)安全解決方案已經(jīng)在多個(gè)主流運(yùn)營(yíng)商得到了應(yīng)用,有望提升運(yùn)營(yíng)商渠道物聯(lián)網(wǎng)設(shè)備的整體安全水平。同時(shí),綠盟科技格物實(shí)驗(yàn)室也對(duì)互聯(lián)網(wǎng)上面向物聯(lián)網(wǎng)的資產(chǎn)、脆弱性和威脅進(jìn)行持續(xù)監(jiān)控,相關(guān)的信息已融入到綠盟威脅情報(bào)服務(wù),具備了第一時(shí)間的物聯(lián)網(wǎng)安全預(yù)警能力。此外,綠盟科技多次在業(yè)界首次捕獲并發(fā)布針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊活動(dòng),深入研究了物聯(lián)網(wǎng)資產(chǎn)的分布、變化態(tài)勢(shì),得到了主管機(jī)構(gòu)和行業(yè)客戶的關(guān)注和認(rèn)可。
責(zé)任編輯:pj
-
人工智能
+關(guān)注
關(guān)注
1793文章
47587瀏覽量
239465 -
邊緣計(jì)算
+關(guān)注
關(guān)注
22文章
3115瀏覽量
49277 -
5G核心網(wǎng)
+關(guān)注
關(guān)注
1文章
32瀏覽量
11168
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論