為什么選用NVD漏洞庫呢?根據維基百科的說法,NVD是由美國政府收集的漏洞庫,使用的是安全內容自動化協議(SCAP)。NVD包括數據庫與安全相關的軟件缺陷,錯誤配置,產品名稱,影響范圍等等。這些都是我們分析所需要的內容。通過分析NVD過去5年的數據,我們需要回答下列問題:
漏洞過去5年的趨勢是怎么樣的?這些數據有什么特殊的地方?
這些漏洞究竟有多嚴重,高危漏洞是多了還是少了?
哪個供應商生產了最多存在漏洞的產品?
哪個產品的漏洞最多?
哪個系統?Windows 系統,還是Linux系統?
哪個移動系統?IOS,Android還是Windows?
哪個web瀏覽器?Safari,IE還是Firefox?
漏洞與年份的線性相關圖:
如上圖,2015年的漏洞數量相比2014年的下降了20%。但是,如果我們觀察總體的漏洞增長趨勢的話,會發現2015年的總體增長量是正常的,2014年的超過50%的增長才是不正常的。總體的對比一下,發現大概每年可以增長24%。
但是,這并不意味者2014年就是最糟糕的,總體的趨勢上來看,每年漏洞的數量一致在上漲,而且未來幾年內將會持續上漲。再深入觀察,我們發現了一些更有趣的事情。相比2014年的漏洞,2015年的高危漏洞更多,而2014年爆出來的漏洞最多的是中危漏洞。CVSS等級是 4, 5, 和6的漏洞居多,而15年有更多的漏洞是CVSS 7,8,9和10的。
從上圖可知,2015年有超過3376個高危漏洞,然而在2014年只有2887個。(多了17%)
換句話說,高危漏洞的比例在增加,這一點足以引起我們的注意,我們必須要花更多時間來建設我們的漏洞檢測體系。
漏洞的嚴重性
下面的表格是根據CVSS的等級顯示的2015年漏洞分布。其中10是最高危的漏洞,1是最低危漏洞。
可以看到,CVSS 9到10 的漏洞數量非常多,以下是具體的數目:
這意味著15年的所有漏洞中36%的漏洞是高危的(CVSS > = 7)。CVSS平均值是6.8,處于一個很危險的地步,差點就到7這個高危的數字了。
可以看出,漏洞的嚴重性一直在增加,但是這不一定都是壞事。這暴露出一個問題:我們必須要建立起一個漏洞監管系統,將漏洞的危害降到最低。有效的漏洞監管系統將會幫助你即使發現漏洞,并且對漏洞做出有效的應急措施,及時修復漏洞。
廠商的漏洞情況
我們來通過供應商的部分分析下NVD數據庫的內容。沒有任何公司能逃避漏洞的浪潮,包括蘋果公司。現實就是,漏洞一直都存在,關鍵是要如何在這些漏洞被破壞者利用之前及時的修復漏洞。
在2015年,蘋果公司爆出來的漏洞最多。而且這些漏洞的數量在上升。
下面是完整的圖表:
2014年的時候,蘋果公司爆出來的漏洞排在第5位,微軟第三,Cisco第四。令人驚奇的是,Oracle今年排在第4,要知道去年他們是排在第二的。是否該恭喜下Canonical和 Novel呢?可是他們在2014年根本就沒有進入前十(他們分別是13和15),呵呵呵。所以,蘋果公司去年這一步跳的扯到蛋了。如果你有很多設備是蘋果的,那么是時候考慮下你的資產安全了。
下圖是2014年和2015年漏洞排名前十的供應商。
操作系統漏洞情況
根據2015年的統計,OSX系統的漏洞最多,其次是Windows 2012,然后是Ubuntu Linux。在開源系統中,漏洞最多的是Ubuntu,其次是debian。有趣的是Windows 7,作為最流行的桌面應用系統,爆出來的漏洞居然低于Ubuntu,真是很驚奇呀。
上圖是移動設備系統的漏洞圖。可以看出,2015年公布的IPhone 系統的漏洞是最多的。Windows和Android其次。這和2014年的并沒有多大區別。2014年也是Iphone最多,然后是window和Android。
應用軟件漏洞情況
瀏覽器漏洞情況
由上圖可以看出,2015年IE爆出的漏洞最多。這和2014年的情況基本一樣,也是IE, Chrome, Firefox, Safari 這樣的排名順序。
總結
根據NVD近幾年的漏洞情況,我們預計今年CVSS等級高危的漏洞數量可能會更多。此外,移動系統安全將會是熱門領域。同時,隨著越來越多移動安全專家公布移動設備的漏洞,移動系統的漏洞也將持續上升。
最后,總體的漏洞環境給我們的時間真的不多了,我們自身的資源也有限。但是如果我們能好好的利用類似NVD這樣的已有的漏洞庫,將這些漏洞庫利用到我們自己的環境中,我們可以用這些信息幫助我們構建一個很良好的應急體系。
京公網安備 11010502049343號