蘭德公司一份新研究報告稱,零日漏洞——開發人員沒打補丁或沒發現的漏洞,平均生存期為6.9年。
該研究分析了200多個此類漏洞,并調查了這些漏洞被不同組織發現的頻率。獨立發現的罕見性,以及缺陷存在的長期性,意味著某些兼具攻防兩方面職責的組織(情報機構),可以囤積漏洞。
超長時間線加上低碰撞率——兩人發現同一漏洞的概率(大約每年5.7%),意味著曝光漏洞可提供的保護程度相當有限,而保持沉默,或者說“囤積漏洞”卻是這些實體的合理選擇——既可防御自身系統,又可利用別人系統中的漏洞。
該報告主筆,蘭德公司信息科學家莉蓮·阿布隆稱:“典型的白帽研究員有更多的動力在發現零日漏洞之后就通告軟件廠商。其他人,比如系統安全滲透測試公司和灰帽子,則傾向于囤積漏洞。但決定是囤積還是公開曝光零日漏洞/漏洞利用程序,就是個權衡游戲了,尤其是對政府而言。”
蘭德公司分析的200多個現實世界中的零日漏洞及漏洞利用程序中,而這些中的40%都尚未公開。
該研究是此類分析中最全面的,報告在CIA網絡武器庫被踢爆僅2天后的發布,也是非常及時的。但安全專家很快就指出:弱口令、網絡釣魚和不打補丁的安全問題,比看起來“誘人”但有些過度炒作的零日漏洞,要危險得多。
安全儀表盤公司AlienVault安全倡導者賈偉德·馬利克,對此評論道:“普通用戶不用太過擔心零日漏洞。網絡罪犯更偏向于使用歷經檢驗的方法來攻擊用戶,而且已經建立了相當有效率的一套過程。比如說,網絡釣魚,或者勒索軟件。大公司,比如金融服務、關鍵國家基礎設施,以及各國政府,往往才需要將零日漏洞和針對性攻擊納入其威脅模型。”
安全工具公司TRipwire安全研究員克雷格·楊,質疑了該研究的方法學。
蘭德公司的研究各方面看都很不科學。首先,他們只調查了200個漏洞,這在每年發現的漏洞中所占比例是很小的。
僅記錄一部分公開披露漏洞的通用漏洞披露(CVE)計劃,在2016年就發布了6,435個漏洞標識符,另有3,500個分配了卻未公開的標識符。何況還有些黑客發現了漏洞卻根本無意揭露呢?
該研究報告的另一大問題在于,里面的統計數據。比如漏洞利用程序平均開發時間為22天,是非常具有誤導性的,因為漏洞的利用難度差異相當之大。
京公網安備 11010502049343號