3月12日訊 美國著名智庫機構蘭德公司(RAND,以軍事為主的綜合性戰略研究機構)當地時間上周四發布的研究報告稱,近期對超過200個“零日漏洞”進行了研究和統計分析,囤積最新發現的“零日漏洞”并沒有普遍認為的那么危險,因為其它人發現這些漏洞的幾率很小。這項結果顛覆了人們對漏洞披露和囤積軟件漏洞的傳統認知。
這項研究是首個公開發布的此類研究,其目的旨在檢驗仍未公開披露的數據集,包括零日漏洞。該報告研究人員Ablon表示,他們通過商業研究人脈訪問了這2002年至2016年的漏洞,包含超過200個零日漏洞和利用工具,到目前為止,其中近一半的數據集仍不為公眾所知。
研究員莉蓮·阿布隆(Lillian Ablon)和蒂莫西·鮑嘉(Timothy Bogart)在報告中總結出,如果發現零日漏洞的人守口如瓶,這些漏洞往往可以存活數年。一個秘而不露的零日漏洞被他人獨立發現或披露的可能性僅為5.7%(每年)。
Ablon并未過多談及數據集的收集者,但表示他們分析的數據集與政府持有的非常相似,通過數據發現,存儲或保留這些漏洞是一個相對可行的策略,沒有普遍認為的那樣危險,而關于是否存儲、是否披露這類決定則相當復雜。。
鑒于到目前為止,有關這些問題的討論都依賴專家觀點或已知漏洞的數據,不具備較好的參考性。蘭德公司的這項研究并不意在給出任何明確的答案,而是想借助對數據集的獨特訪問權,“創建底線標準”供進一步研究。
這項研究結果的發布正值美國政府決定是否披露此類漏洞之時。因為維基解密本周二爆出CIA的大量黑客工具,美國就是否應該秘密囤積這類網絡武器展開新一輪討論。
白宮前網絡安全協調員邁克爾·丹尼爾表示:
美國2014年推出的“漏洞公平裁決程序”(U.S. Vulnerabilities Equities Process)對漏洞披露存在偏見。“初次建立“漏洞公平裁決程序”時,我們可以發現的漏洞也可能被其它人發現”。
原因是,其它人將可能更早發現零日漏洞。由于發現零日漏洞會帶來潛在損害,如被網絡犯罪組織利用,后果會相當嚴重。因此,整個互聯網生態系統快速修復零日漏洞帶來的好處遠遠超出秘密將其保留,并用來實施網絡間諜或其它黑客行動,對政府而言亦是如此。 蘭德公司的這項研究結果顯示零日漏洞被發現一年后被他人發現的幾率大約為5.7%。他們即使使用最長的時間間隔來計算(數據集介于2002年至2016年),這種巧合率仍然只有40%。90天之后,白帽子研究人員給廠商提出的披露期限,巧合率只有0.87%。
鑒于此,零日漏洞的平均預期壽命--被發現、公開和被修復之前存活的時間—為6年零9個月。
Ablon聲稱,“我們只是比較了使用數據集和公開披露的零日漏洞之間的重疊情況。”
研究人員只能預估零日漏洞的公開發現概率,原始數據不包括某些國家或人想利用0day漏洞而故意將其隱匿的情況。
附蘭德研究報告主要結論
“活動”與“死亡”的二元劃分太過簡單粗暴
所謂活動安全漏洞(即尚未被公開的漏洞)是指那些安全保護方一直在積極尋找的安全漏洞——即“活動中”安全漏洞,或者永久存在于產品中的安全漏洞。后者因供應商不再對代碼進行維護或者發布漏洞更新而存在,亦被稱為“永久性”漏洞。
而所謂死亡安全漏洞(即已公開發布之漏洞),大多已經為安全意見或者修復補丁所發現并解決。但在某些情況下亦存在開發人員或漏洞研究人員已然提供對應漏洞信息,但尚未發布安全公告的情況。
亦有部分安全漏洞處于“準活動”狀態(即‘僵尸’狀態),其主要存在于盡管最新產品版本已經得到代碼修復,但在舊版本中仍可被利用的情況之下。長久存在并為第三方發現
零日漏洞在被利用與被發現之間的平均生命周期極長(達6.9年)。只有25%的安全漏洞能夠在1.51年之內得到發現,但亦有25%的安全漏洞可持續存在達9.5年以上。
安全漏洞自身的特性與其存在生命周期無關; 不過不過的分析機制可能希望針對Linux及其它不同平臺類型進行檢查,研究開源與閉源代碼間的相似性并以此為基礎探索漏洞類型。
對于特定零日漏洞庫存,經過一年時間后約有5.7%的漏洞條目被第三方實體發現并公開披露。利用零日安全漏洞的時間與成本
一旦發現某一安全漏洞,則對其加以利用的時間周期相當之短,中位數時長為22天。
一項安全漏洞的利用成本往往涉及多種因素,其中包括發現可行性漏洞的時間、制定利用手段的時間、測試與分析的時間與成本、將一項漏洞與其它當前漏洞相結合帶來的時間投入、相關研究人員的人工成本以及在發布代碼修訂后重新探索漏洞利用途徑的成本。
京公網安備 11010502049343號