2016年互聯(lián)網(wǎng)網(wǎng)絡(luò)安全漏洞報告
近年來,針對漏洞的攻擊越來越多,利用漏洞的病毒、木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊和詐騙的網(wǎng)絡(luò)犯罪活動呈快速上升趨勢。產(chǎn)生了大范圍的危害,由此給企業(yè)造成了重大經(jīng)濟(jì)損失。漏洞的問題成為危害整個信息安全業(yè)界的重要因素之一。柯力士信息安全的漏洞信息小組總結(jié)了2016年的漏洞信息狀況,并作出了“2016信息安全漏洞年報”供大家參考,本漏洞年報大部分?jǐn)?shù)據(jù)基于整合世界三大漏洞庫的安犬漏洞管理云平臺漏洞庫。
一.2016安全漏洞概況
2016年共發(fā)布整理8805條漏洞信息(數(shù)據(jù)截止至2016.12/31)其中緊急級別漏洞數(shù)量為469個 嚴(yán)重級別漏洞為2384個 高危級別漏洞5804個 中危漏洞139個 低危漏洞9個.
漏洞等級的劃分按照國際漏洞評分標(biāo)準(zhǔn),以漏洞容易被利用的程度和影響劇烈度進(jìn)行打分,簡單的危害程度排序為:緊急>嚴(yán)重>高危>中危>低危。
而從年份來看,2014年漏洞庫共收錄7356個漏洞,其中緊急漏洞數(shù)量為313個
2015年共收錄7535個漏洞,其中緊急漏洞數(shù)量為516個,而2016年為8805個漏洞469個漏洞。
從數(shù)據(jù)上看,無論是漏洞數(shù)量還是緊急漏洞數(shù)量都呈逐年上升趨勢,而zero days漏洞也逐漸增多。
漏洞數(shù)量呈上升趨勢,究竟是好還是壞?
隨著信息安全的發(fā)展,新的系統(tǒng),新的構(gòu)架,新的語言不斷的刷新信息社會的發(fā)展水平,隨之而來的則是新的信息安全漏洞。新的信息安全漏洞,不論是沒有范例的zero days漏洞還是危害級別較強(qiáng)的緊急漏洞,(前段時間的美國DYN大型DDOS安全事件的起因僅僅是一個設(shè)備上的嚴(yán)重漏洞,因該設(shè)備使用商影響巨大而被劃分為緊急漏洞)從被漏洞庫收錄記載下的那一刻,就已經(jīng)在人類的控制之中。我們相信,越來越多的漏洞被發(fā)現(xiàn),是我們的信息安全技術(shù)不斷發(fā)展的結(jié)果,也是我們信息安全意識得到提升的具體體現(xiàn)。
二.系統(tǒng)漏洞
2016年共有4496個漏洞屬于系統(tǒng)方面的漏洞,按照不同的系統(tǒng)類別統(tǒng)計成下面的表格:
其中,Linux的漏洞有1257個,windows的漏洞有1160個;而移動端方面安卓平臺的系統(tǒng)漏洞有752個,與之相比宣稱很安全的IOS也曝出466個漏洞,占所有系統(tǒng)漏洞的10%。系統(tǒng)級的漏洞占據(jù)總漏洞的49%,而Linux與windows的漏洞占據(jù)系統(tǒng)漏洞的大半江山。
傳統(tǒng)系統(tǒng)平臺漏洞依舊是主流,移動平臺逐現(xiàn)鋒芒
半數(shù)的系統(tǒng)漏洞都是來自傳統(tǒng)的系統(tǒng)平臺Linux和windows,這可能算是傳統(tǒng)系統(tǒng)更新的結(jié)果,這些漏洞也算是漏洞庫里面的常客了,而來自移動平臺的漏洞數(shù)量比例在不斷變大,這一方面說明移動端的系統(tǒng)成為當(dāng)前世界非常關(guān)注,發(fā)展迅速的重要組成部分。
而另一方面則表明,黑客或許也盯上了移動系統(tǒng)平臺,在過去的一年里,移動系統(tǒng)平臺,特別是IOS平臺的重大漏洞引起的信息安全事件層出不窮。這警醒著信息安全的從業(yè)人員們,一定要重視信息安全漏洞。
三.漏洞類型與影響
按照漏洞類型來進(jìn)行分類,造成信息泄露和緩沖區(qū)溢出以及權(quán)限問題的漏洞占了較大比例,而這些影響可能引起更多的信息安全危害。對比2015年,這三類漏洞的占比逐年升高。
你的信息很有價值!
信息泄露漏洞的目的直接明了,告訴你就是要信息。緩沖區(qū)溢出之后,就是獲取權(quán)限,也是獲取信息。權(quán)限問題引起的更加不用講,服務(wù)器被控制之后當(dāng)然信息也泄露了。對于攻擊漏洞的攻擊者而言,能獲取到的信息才是有價值的信息,這與這些類別漏洞的多發(fā)有一定的聯(lián)系。從安全行業(yè)的角度分析,這些漏洞必須隔離于重要信息系統(tǒng)之外,杜絕攻擊者獲取有價值信息的可能才是重要的安全舉措。
總結(jié)
不管是對比前幾年,還是漏洞庫內(nèi)部的對比,2016年的漏洞呈現(xiàn)出越來越嚴(yán)峻的形勢,越來越多的漏洞出現(xiàn)在網(wǎng)絡(luò)系統(tǒng)之間,而移動平臺的系統(tǒng)逐漸成為多發(fā)漏洞的地方,并且透過漏洞,攻擊者瞄準(zhǔn)著個人信息。對于漏洞整體的攻擊體系正在不斷成型,展望2017年,這種大趨勢可能還將繼續(xù)下去,信息安全行業(yè)人員,運(yùn)維人員勢必迎來更多的挑戰(zhàn)。我們相信,只要正確的認(rèn)識漏洞,了解攻擊者利用漏洞的方式,及時應(yīng)對,漏洞并不足為懼。
本文使用大部分?jǐn)?shù)據(jù)來源于安犬漏洞管理云平臺漏洞庫,部分參考數(shù)據(jù)來源于中國國家信息安全漏洞庫。
柯力士旗下的安犬漏洞管理云平臺不僅提供最新信息安全漏洞的收集,也從多方面發(fā)布最新信息安全業(yè)界動態(tài)!目前注冊即送每日5次免費(fèi)掃描資格,長按二維碼或點(diǎn)擊閱讀原文即可直達(dá)安犬平臺。
【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件,轉(zhuǎn)載請聯(lián)系原作者(微信號:JW-assoc)】
