侵權(quán)投訴
訂閱
糾錯
加入自媒體

綠盟科技范敦球:漏洞數(shù)量激增,5G時(shí)代存在兩大“風(fēng)險(xiǎn)區(qū)”

安全無小事!唯有不放過每一個(gè)針尖大的漏洞,才能將所有風(fēng)險(xiǎn)消除在萌芽狀態(tài)。

日前,綠盟科技發(fā)布《漏洞發(fā)展趨勢報(bào)告》(以下簡稱《報(bào)告》),以NVD為數(shù)據(jù)源,對1999-2019年的漏洞數(shù)據(jù)進(jìn)行回顧分析,結(jié)合綠盟威脅情報(bào)中心(NTI)監(jiān)測到的漏洞利用攻擊事件,總結(jié)了20年來漏洞研究及利用的趨勢,情況不容樂觀。

綠盟科技威脅情報(bào)與網(wǎng)絡(luò)安全實(shí)驗(yàn)室高級技術(shù)總監(jiān)、天樞實(shí)驗(yàn)室負(fù)責(zé)人范敦球在接受C114采訪時(shí)表示,漏洞安全形勢非常嚴(yán)峻,2019年的漏洞數(shù)量同比1999年,增長了9.62倍。同時(shí),范敦球指出,5G時(shí)代漏洞存于兩大“風(fēng)險(xiǎn)區(qū)”。

漏洞數(shù)量激增9.6倍:“安全左移”成藥方

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,全球互聯(lián)網(wǎng)體量急速膨脹,網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,國家政治、經(jīng)濟(jì)、 文化、社會及公民在網(wǎng)絡(luò)空間的合法權(quán)益面臨嚴(yán)峻挑戰(zhàn)。近些年來安全漏洞數(shù)量呈現(xiàn)遞增趨勢,基于漏洞的網(wǎng)絡(luò)安全事件層出不窮,為我們敲響了信息安全攻防戰(zhàn)的警鐘。

軟件由于開發(fā)及設(shè)計(jì)等各方面的原因,存在漏洞在所難免。對安全研究人員來說,通過對漏洞發(fā)展 趨勢的研究,可以在攻擊者利用漏洞造成危害之前,提出及時(shí)有效的修補(bǔ)方案,盡可能的減少攻擊事件的發(fā)生。對軟件開發(fā)商來說,通過對漏洞的研究,可以幫助開發(fā)人員把更多的精力放在安全開發(fā)過程中需要注意的關(guān)鍵技術(shù)上,開發(fā)出高質(zhì)量的軟件。

《報(bào)告》數(shù)據(jù)顯示,截至2019年底,NVD數(shù)據(jù)庫共收錄漏洞信息138909條。2019年的漏洞數(shù)量同比1999年,增長了9.62倍。這也意味著,漏洞安全形勢非常嚴(yán)峻。

數(shù)據(jù)來源:綠盟科技《漏洞發(fā)展趨勢報(bào)告》

“軟件及其系統(tǒng)中的漏洞是導(dǎo)致信息安全問題的根源所在,如何減少安全漏洞已經(jīng)成為了信息安全從 業(yè)人員的熱門話題!狈抖厍蛑赋,“從目前看來,這一愿景與漏洞數(shù)量逐年增長的趨勢相悖!薄堵┒窗l(fā)展趨勢報(bào)告》指出,目前漏洞發(fā)展呈現(xiàn)了九大趨勢:

漏洞數(shù)量呈現(xiàn)顯著增長的總體趨勢;操作系統(tǒng)被公開的漏洞中,開源操作系統(tǒng)占比相對更高,其安全性問題可能暴露的更充分;根據(jù)綠盟威脅情報(bào)中心(NTI) 顯示,十年以上高齡漏洞在攻擊事件中占比仍然高。

瀏覽器作為網(wǎng)絡(luò)攻擊的入口,漏洞種類復(fù)雜多樣;利用文件格式漏洞的魚叉式釣魚攻擊已成為網(wǎng)絡(luò)安全的主要威脅之一,此類漏洞利用穩(wěn)定性高,在APT攻擊事件中屢見不鮮;Flash漏洞作為曾經(jīng)的研究焦點(diǎn),今后一段時(shí)間內(nèi),F(xiàn)lash漏洞并不會徹底消亡,還需繼續(xù)關(guān)注。

與此同時(shí),隨著開源軟件開發(fā)模式的興起,針對軟件供應(yīng)鏈的攻擊成為面向軟件開發(fā)人員和供應(yīng)商的一種新興威脅;近些年來社會各界對移動應(yīng)用的漏洞關(guān)注度逐漸提高;物聯(lián)網(wǎng)設(shè)備數(shù)量增長迅速,設(shè)備廠商應(yīng)該重視并加強(qiáng)自身產(chǎn)品的安全。

面對如此嚴(yán)峻的發(fā)展趨勢,企業(yè)又將如何避免安全漏洞安全的出現(xiàn)呢?對此,范敦球認(rèn)為,“安全左移”可以從源頭上盡量減少漏洞的產(chǎn)生!鞍踩笠啤本褪窃谲浖_發(fā)、甚至設(shè)計(jì)的過程中就開始關(guān)注安全,將安全作為軟件的一個(gè)功能、屬性進(jìn)行考慮,而不是附屬。

網(wǎng)絡(luò)安全的本質(zhì)是攻與防的對抗,未知攻焉知防,只有在了解了各種攻擊技術(shù)和手段后才能采取更加有效的防御策略,從而避免安全事件的發(fā)生。

“當(dāng)前的項(xiàng)目開發(fā)中,不少項(xiàng)目都是先進(jìn)行生產(chǎn)功能的實(shí)現(xiàn),測試生產(chǎn)功能沒有問題后,直接上線或者再考慮一些邊界安全問題。這樣的問題在于,雖然可以通過對程序的輸入進(jìn)行嚴(yán)格的校驗(yàn),避免攻擊的發(fā)生。但是程序內(nèi)部中的一些邏輯問題及潛在的安全問題都沒有機(jī)會被發(fā)現(xiàn),一旦被外部攻擊者或用戶有意或無意的觸發(fā),將造成直接影響!狈抖厍驈(qiáng)調(diào),只有將安全作為軟件的固有功能和屬性從設(shè)計(jì)之初就加以考慮的話,可以部分避免安全漏洞的出現(xiàn)。

1  2  下一頁>  
聲明: 本文由入駐維科號的作者撰寫,觀點(diǎn)僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報(bào)。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個(gè)字

您提交的評論過于頻繁,請輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標(biāo)題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號