1 應急因為有“急”
近年以來,高等級的安全應急響應活動越來越頻繁,下圖是2014年發生的心臟滴血、破殼、沙蟲、Poodle等幾次重要應急響應事件的時序圖。一方面因為對快速響應市場需求的追求,開源和商業組件獲得更大規模的應用,導致任何一個底層組件出現重大安全漏洞都會影響數千萬甚至數億設備和用戶;另一方面國家網際空間安全能力的爭奪導致漏洞挖掘和利用能力的研究不斷深入,更新的挖掘和利用方法被發掘出來。相信這個趨勢在可預測的時間內還將繼續發展。
<圖1:高等級安全應急響應活動在2014年不斷出現>
當一個嚴重漏洞,尤其是某種新的利用工具(POC)被披露后,通過各種社交網絡和網絡媒體,在小時級的時間尺度上將會獲得迅速傳播,響應的攻擊行為迅速增加。圖2是在心臟滴血漏洞利用披露后IBM監視到的網絡攻擊行為。可以看到4.7披露,4.10日開始有大規模攻擊,然后高位持續了10天左右時間。換句話說,72小時更像是安全應急響應的“黃金時間窗口”,在這個時間內成功完成響應活動,將會有更大的概率避免被“攻陷”。
<圖2:漏洞披露72小時后攻擊事件迅速增加>
但是,令人遺憾的是,當前從整個網絡角度看,安全應急響應的時效性(也直接影響了有效性)很不理想。圖3顯示在心臟滴血漏洞披露72小時時,國內網站修復比例只有18%左右,換句話說,有72%的網站依然處于“脆弱性”狀態,暴露在已經非常活躍的網絡攻擊之下。
<圖3:漏洞披露72小時時的漏洞修復率情況 >
這給了我們啟發和思考。大規模的安全應急響應活動是一個系統工程,對于國家整體、或某個地區、某個行業而言,其成功與否,或整體的安全性,并不只取決于少數安全專家“高精尖”的技術研究活動;及時有效地大規模實施一系列“響應”活動、從而獲得(或者恢復保持)整體安全性的戰略動員和自動化部署能力,可能更為關鍵。
京公網安備 11010502049343號