年度FLexera漏洞審查報告顯示,全部安全漏洞當中有81%已經(jīng)擁有與之匹配的修復補丁,但多數(shù)常見軟件項目的補丁安裝率卻相當?shù)拖隆?/p>
作為一家面向應(yīng)用程序開發(fā)商與企業(yè)客戶的軟件安全漏洞管理解決方案廠商,F(xiàn)lexera Software公司研究團隊整理的報告《2017年安全漏洞審查》,其匯總了關(guān)于現(xiàn)有安全漏洞與可用補丁的全面數(shù)據(jù),并且將各安全漏洞威脅與IT基礎(chǔ)設(shè)施相對應(yīng),同時對50款個人PC設(shè)備上最具人氣的應(yīng)用程序進行了安全漏洞狀況調(diào)查。
安全漏洞已然成為導致安全問題的一大重要根源,例如可能成為黑客的有效切入點的軟件錯誤,黑客利用該漏洞能滲透進IT系統(tǒng)。
2016年,Secunia研究團隊在來自246家供應(yīng)商的2136款產(chǎn)品中發(fā)現(xiàn)了總計17147項安全漏洞。存在如此廣泛的漏洞,證明IT團隊將很難在沒有自動化方案配合的情況下成功對抗種種潛在安全威脅。對于以此為基礎(chǔ)建立業(yè)務(wù)體系的企業(yè)而言,IT團隊必須對在用的所有應(yīng)用程序進行全面審查,同時制定政策及規(guī)程以確保一切已被披露的安全漏洞皆得到有效控制。
好消息是,目前大多數(shù)被披露的安全漏洞其廠商都能夠快速發(fā)布相應(yīng)的修復補丁。2016年年內(nèi),全部安全漏洞中的81%與受到漏洞影響的最具人氣軟件產(chǎn)品TOP 50中的92.5%都能夠在披露的當天獲得修復補丁。
修補漏洞不僅要廠商發(fā)布補丁,還需用戶配合但有明確的跡象表明目前的軟件供應(yīng)鏈相當糟糕。要真正起到作用,還需用戶積極配合加以安裝。軟件安全漏洞管理方案旨在幫助企業(yè)發(fā)現(xiàn)自身環(huán)境內(nèi)存在安全漏洞的應(yīng)用程序及系統(tǒng),并通過集成化補丁管理機制進行優(yōu)先級排序與問題處理。
Flexera Software公司Secunia研究團隊負責人Kasper Lindgaard解釋稱:
“軟件供應(yīng)鏈在行業(yè)當中處于非常獨特的位置。軟件開發(fā)商往往會發(fā)布大量包含有可利用漏洞的產(chǎn)品,并由此給客戶帶來潛在風險。因此,軟件買家需要對軟件采購、管理與保護采取謹慎的心態(tài)。大多數(shù)漏洞在被披露之后,很快即會有對應(yīng)安全補丁推出,企業(yè)需要充分利用這方面資源,同時以積極的態(tài)度及時安裝修復補丁。”例如,PDF閱讀器。未安裝修復補丁的PDF閱讀器占很高比例。
舉例來說,Adobe Reader擁有廣泛的用戶,目前在TOP 50人氣軟件排名第31位,40%的個人計算機安裝了這款產(chǎn)品。然而正是因為用戶眾多,盡管已經(jīng)發(fā)布了大量可用補丁,仍然存在很多未被修補的漏洞。據(jù)統(tǒng)計,2016年75%的Adobe Reader個人用戶并未使用已修復版本。
補丁安裝率與0day漏洞
《2017年安全漏洞審查》報告還發(fā)表了另一些值得關(guān)注的結(jié)論:
2016年出現(xiàn)了22項0day漏洞,略低于2015年;個人電腦平臺上最具人氣的TOP 50應(yīng)用程序當中,微軟與非微軟產(chǎn)品間的漏洞分布比例為22.%與77.5%。大多數(shù)(81%)安全漏洞在漏洞發(fā)布當天即提供修復補丁。然而在30天后,仍然只有不足2%的客戶安裝安全補丁。特別是對于需要管理大規(guī)模端口的企業(yè)(包括不會定期接入企業(yè)網(wǎng)絡(luò)的設(shè)備),就需要利用多種軟件安全漏洞管理方案以確保各設(shè)備及系統(tǒng)得到理想保護。《2017年安全漏洞審查》報告中的重要結(jié)論涵蓋全部應(yīng)用程序的總體統(tǒng)計數(shù)字1. 2016年,Secunia研究團隊從來自246家供應(yīng)商的2136款產(chǎn)品中發(fā)現(xiàn)總計17147項安全漏洞。
2. 2016年,全部產(chǎn)品中81%的安全漏洞能夠在披露當天即獲得對應(yīng)的修復補丁。
3. 2016年共發(fā)現(xiàn)22項零日漏洞,比2015年減少了4項。
4. 2016年報告的3416項安全漏洞中,有18%被評為“危險”,而0.5%被評為“高危”。
5. 2016年,五大高人氣網(wǎng)絡(luò)瀏覽器共曝出713項安全漏洞,其分別為谷歌Chrome、Mozilla火狐、IE、Opera以及Safari。這一數(shù)字較2015年降低27.5%。
6. 2016年,五大高人氣PDF閱讀器中總計發(fā)現(xiàn)289項安全漏洞,其分別為Adobe Reader、Foxit Reader、PDF-XChange Viewer、Sumatra PDF以及 Nitro PDF Reader。
個人PC設(shè)備上最具人氣的50款應(yīng)用程序1. 在個人PC設(shè)備上最具人氣的TOP 50款應(yīng)用程序當中,僅25款產(chǎn)品內(nèi)就總計發(fā)現(xiàn)1626項安全漏洞。
2. 2016年個人PC設(shè)備上最具人氣的TOP 50款應(yīng)用程序當中,Windows 7操作系統(tǒng)中發(fā)現(xiàn)的9%安全漏洞,微軟應(yīng)用程序內(nèi)13.5%的安全漏洞,5%的安全漏洞影響非微軟應(yīng)用程序。
3. 只占TOP 50款最具人氣應(yīng)用程序29%的15款非微軟應(yīng)用程序,卻貢獻了全部安全漏洞中的77.5%。微軟應(yīng)用程序(包括Windows 7操作系統(tǒng))在TOP 50款最具人氣應(yīng)用程序中占71%,但安全漏洞數(shù)量卻只占22.5%。
4. 過去五年當中,TOP 50名高人氣應(yīng)用程序中非微軟應(yīng)用程序中存在的安全漏洞占這部分漏洞總量的78%。
5. 2016年,TOP 50位最具人氣應(yīng)用程序中的全部安全漏洞總量為1626項,較過去五年的平均水平高15%。其中大部分安全漏洞被Secunia研究團隊評為“危險”(65%)或者“高危”(7.5%)。
6. 2016年,最具人氣的TOP 50款應(yīng)用程序中的全部安全漏洞有5%在披露當天即發(fā)布了相關(guān)修復補丁。
關(guān)于《2017年安全漏洞審查》報告。這份年度安全漏洞審查報告來自Flexera Software公司Secunia研究團隊立足漏洞層面對軟件安全演進態(tài)勢進行的研究。其中涵蓋了安全漏洞與可用修復補丁、指向IT基礎(chǔ)設(shè)施之安全威脅以及個人PC設(shè)備上最具上氣之TOP 50款應(yīng)用程序內(nèi)安全漏洞的全球性數(shù)據(jù)。
從前50大軟件組合中確定50款最具人氣的應(yīng)用程序。為了評估各端口的實際表現(xiàn),我們對同一端口內(nèi)常見的各類產(chǎn)品進行了分析。在此項分析中,我們對“Personal Software Inspector(個人軟件檢測器)”用戶計算機內(nèi)的統(tǒng)計出的75款程序進行掃描。立足于不同國家與不同地區(qū),其安裝的應(yīng)用程序亦在種類及具體版本上存在區(qū)別。
為了明確起見,我們選擇有代表性的軟件安裝組合內(nèi)的 50款最常見應(yīng)用程序。這50款應(yīng)用程序中包含35款微軟應(yīng)用程序與15款非微軟應(yīng)用程序。
Secunia具體統(tǒng)計方法說明
安全漏洞管理領(lǐng)域的各研究機構(gòu)往往會采取不同方法對安全漏洞進行計數(shù)。Secunia研究團隊對每款產(chǎn)品中出現(xiàn)的安全漏洞進行計數(shù),并借此反映客戶所需要以保障其環(huán)境安全性的信息級別,即驗證特定安全漏洞項所影響到的全部產(chǎn)品。
京公網(wǎng)安備 11010502049343號