每年,安全和科技公司都会发布数千个漏洞的详细信息。媒体及时报道这些漏洞,强调最危险的问题,并建议用户如何保持安全。 但是,如果我告诉您,在这数千个漏洞中,很少有人在野外被积极利用呢? 那么到底有多少安全漏洞,安全公司是否决定漏洞的严重程度呢?
有多少安全漏洞?
Kenna Security 的预测优先级报告系列发现,2019 年,安全公司发布了超过 18,000 个 CVE(常见漏洞和暴露)。 虽然这个数字听起来很高,但报告还发现,在这 18,000 个漏洞中,只有 473 个“得到了广泛利用”,约占总数的 2%。尽管这些漏洞确实在互联网上被利用,但这并不意味着世界各地的每个黑客和攻击者都在使用它们。 此外,“当漏洞发布到 CVE 列表时,超过 50% 的漏洞的利用代码已经可用。” 从表面上看,漏洞利用代码已经可用,这听起来令人震惊,而且这是一个问题。然而,这也意味着安全研究人员已经在致力于修复该问题。 通常的做法是在发布后 30 天的时间内修补漏洞。这种情况并不总是发生,但这是大多数科技公司努力的方向。 下图进一步说明了报告的 CVE 数量与实际利用数量之间的差异。 大约 75% 的 CVE 是由不到万分之一的组织检测到的,而只有 5.9% 的 CVE 是由百分之一的组织检测到的。这是相当广泛的。您应该注意,上表指的是 473 个漏洞,而不是总共 18,000 个左右的漏洞。 您可以在预测的优先级第 6 卷:攻击者与防御者的鸿沟中找到上述数据和数字。
谁分配 CVE
您可能想知道谁首先分配和创建 CVE。并非任何人都可以分配 CVE。目前有来自 25 个国家/地区的 153 个组织被授权分配 CVE。 这并不意味着只有这些公司和组织负责世界各地的安全研究。事实并非如此。这意味着这 153 个组织(称为 CVE 编号机构,简称 CNA)遵循商定的标准,将漏洞发布到公共领域。 这是一个自愿的立场。参与组织必须展示“在不预先发布的情况下控制漏洞信息披露的能力”,以及与请求漏洞信息的其他研究人员合作。 共有三个根 CNA,位于层次结构的顶部:
- 米特公司
- 网络安全和基础设施安全局 (CISA) 工业控制系统 (ICS)
- JPCERT/CC
所有其他 CNA 均向这三个顶级机构之一报告。报告的 CNA 主要是知名的科技公司和硬件开发商和供应商,例如微软、AMD、英特尔、思科、苹果、高通等。完整的 CNA 列表可在 MITRE 网站上找到。
漏洞报告
漏洞报告还由软件类型和发现漏洞的平台来定义。这还取决于谁最先发现它。 例如,如果安全研究人员发现某些专有软件中存在漏洞,他们可能会直接向供应商报告。或者,如果在开源程序中发现漏洞,研究人员可能会在项目报告或问题页面上打开一个新问题。 但是,如果不法分子首先发现该漏洞,他们可能不会向相关供应商透露该漏洞。发生这种情况时,安全研究人员和供应商可能不会意识到该漏洞,直到它被用作零日漏洞。
安全公司如何评价 CVE
另一个考虑因素是安全和科技公司如何评估 CVE。 安全研究人员不仅仅是凭空抽取一个数字并将其分配给新发现的漏洞。有一个指导漏洞评分的评分框架:通用漏洞评分系统 (CVSS)。 CVSS 量表如下:
严重性
基础分数
没有任何
低的
0.1-3.9
中等的
4.0-6.9
高的
7.0-8.9
批判的
9.0-10.0
为了计算漏洞的 CVSS 值,研究人员分析了一系列涵盖基本评分指标、时间评分指标和环境评分指标的变量。
- 基本分数指标涵盖漏洞的可利用性、攻击复杂性、所需的权限以及漏洞的范围等内容。
- 时间分数指标涵盖了诸如漏洞利用代码的成熟程度、漏洞修复是否存在以及漏洞报告的可信度等方面。
- 环境得分指标涉及多个领域:
- 可利用性指标:涵盖攻击向量、攻击复杂性、权限、用户交互要求和范围。
- 影响指标:涵盖对机密性、完整性和可用性的影响。
- 影响子分数:为影响指标添加进一步定义,涵盖机密性要求、完整性要求和可用性要求。
现在,如果这一切听起来有点令人困惑,请考虑两件事。首先,这是 CVSS 量表的第三次迭代。它最初从基本分数开始,然后在以后的修订中添加后续指标。当前版本是 CVSS 3.1。 其次,为了更好地了解 CVSS 如何计算分数,您可以使用国家漏洞数据库 CVSS 计算器来查看漏洞指标如何相互作用。 毫无疑问,“通过肉眼”对漏洞进行评分将极其困难,因此这样的计算器有助于提供精确的分数。
保持上网安全
尽管 Kenna Security 报告表明,所报告的漏洞中只有一小部分会成为严重威胁,但 6% 的漏洞被利用的可能性仍然很高。想象一下,如果您每次坐下时,您最喜欢的椅子有百分之六的几率坏掉。你会替换它,对吗? 您在互联网上没有相同的选择;它是不可替代的。然而,就像你最喜欢的椅子一样,你可以在它成为一个更大的问题之前修补它并固定它。为了保证在线安全并避免恶意软件和其他攻击,需要做五件重要的事情:
- 更新。让您的系统保持最新状态。更新是科技公司保护计算机安全、修补漏洞和其他缺陷的首要方式。
- 防病毒。您可能会在网上阅读诸如“您不再需要防病毒软件”或“防病毒软件毫无用处”之类的内容。当然,攻击者不断进化以逃避防病毒程序,但如果没有他们,您的情况会更糟。操作系统上的集成防病毒软件是一个很好的起点,但您可以使用 Malwarebytes 等工具来增强保护。
- 链接。除非您知道它们要去哪里,否则不要单击它们。您可以使用浏览器的内置工具检查可疑链接。
- 密码。让它变得强大,让它独一无二,并且永远不要重复使用它。然而,记住所有这些密码是很困难的——没有人会反对这一点。这就是为什么您应该查看密码管理器工具来帮助您记住并更好地保护您的帐户。
- 诈骗。互联网上有很多骗局。如果它看起来好得令人难以置信,那么它很可能是真的。犯罪分子和诈骗者擅长创建带有精美部分的华丽网站,让您在不知不觉中陷入骗局。不要相信你在网上读到的一切。
保持上网安全不一定是一项全职工作,您也不必每次启动计算机时都担心。采取一些安全措施将大大提高您的在线安全性。