零日漏洞一直讓安全從業者頭疼。陰魂不散的零日問題的根源之一,是開源代碼的不斷擴散。這也是很多人想要知道零日漏洞當前趨勢,以及緩解開源代碼風險最佳實踐的原因所在。
網絡安全風投公司最近發布了一份新的《零日漏洞報告》,為CISO和IT安全團隊提供零日漏洞趨勢、統計數據、最佳實踐和資源。
該報告凸顯了一些預警性統計數據,包括:
應用攻擊界面每年增加1110億行軟件代碼任務關鍵App中的開源代碼將占99%麥克·卡頓,Digital Defense 研發副總裁,稱:“從安全角度看,開源代碼的大量使用是有問題的。越來越多的公司不斷投入開源代碼懷抱,作為削減營銷周期,盡快將產品推向市場的一種手段。”
由于一塊代碼可作為軟件組件應用到多種設備中,這種組件中發現的零日漏洞復現率就可能倍增。你通常會在各種各樣的設備和平臺上發現一連串的漏洞。
推向市場的壓力,催生了在企業產品中集成進更多庫的新趨勢,但這每一個庫,都代表著潛在的漏洞風險。
卡頓稱:“在以前,原生代碼開發所占比重還要更大些。但使用開源代碼的好處,在于代碼質量更高;壞處,則顯現于有人找到漏洞之時。如今,16個產品都出現了漏洞。”
開源組件和企業產品中常會發生的事情是,開發人員將庫集成進產品,卻沒有對它進行加固。但凡集成時有個堅實的配置,情況都會好很多。
那么,企業到底需要做點什么來解決這些漏洞呢?”每一行代碼都是一個攻擊系統。某個庫能干25件事,但我們只需要其中2件。那就要確保只有用到的那些確實暴露給執行代碼。”
造成零日漏洞增多的另一個問題,是公司在同一個產品中使用2或3個解決方案。“他們可能會使用2到3個數據庫或SML解析器,但僅使用能搞定所有需求的一個平臺或一個組件,才是更好的選擇。”
強防護,來自于選擇正確的工具。“SQL輕量級組件,更少代碼,更少功能,但有的都是與你任務相關的那些。”
虛擬化趨勢,也降低了攻擊者進入系統查看某些此類產品后臺的門檻。“你可以下載一個虛擬機。企業應用空間里觸手可及的目標很多。”
這個問題真心在廠商自身身上。“他們得注意到攻擊者真的能這么做,確保他們自己先來一遍嚴格的安全評估。”
京公網安備 11010502049343號