安全公司賽門鐵克在一份研究中指出,過去三年,0day漏洞利用數量連續下降,從而推高了零日漏洞利用的價格,攻擊者不得不選擇可替代攻擊的策略。被利用的0day漏洞(這里指的是未向廠商披露和修復的軟件漏洞)總量從2014年的4985降低到2016年的3986。
盡管如此0day漏洞的需求仍呈上升趨勢。各方都在購買安全研究人員發現的0day零洞,包括軍方、情報機構、執法機構、軟件廠商、網絡犯罪分子和軍事承包商。這些買家的目的各異:一些意在修復并防御軟件,而另一些則希望通過漏洞實施網絡攻擊行動。
無論買方動機如何,如果能達成交易,其意義也會日益凸顯。賽門鐵克的凱文-哈利表示,如果攻擊者發現一些可利用的漏洞,其體現的價值會更大。
NSA前計算機網絡利用分析師布萊克-達奇表示,由于大型廠商(包括微軟、蘋果等公司)已經在高度重視修復平臺內的漏洞,0day漏洞數量因此減少,這一舉措牽連到“圈內”當前可供利用的0day漏洞價格上漲。
但從防御的角度來看,大多數企業都力爭盡快修復已知漏洞,以防止遭遇破壞性網絡攻擊。
漏洞懸賞平臺HackerOne首席技術兼聯合創始人亞力克斯-賴斯表示,常用軟件產品,例如Microsoft Windows、Adobe Flash player和Chrome瀏覽器的安全性通常更佳,能被大肆利用的可能性較小。這并不意味著這些軟件產品存在的漏洞少,而只是專家的水平在提高,而漏洞利用的成本也在上漲。
漏洞被利用的幾率變小除了Google、Microsoft、Apple等大型軟件廠商取得的安全成果以外,漏洞懸賞計劃也開辟了新的合法途徑,從而將利益驅使動機轉化為負責任的披露。越來越多的研究人員通過尋找漏洞獲取報酬。因此,尋找可利用的漏洞變得比以往更加困難。
例如,過去一年在HackerOne上有約2萬個0day漏洞被發現,且大多是私下披露并解決的。賽門鐵克統計的0day漏洞不包含這些漏洞,因此數量相對較少。
賴斯表示,要在2017年將漏洞利用“武器化”,比兩到三年前難得多。
漏洞懸賞平臺BugCrowd的信任與安全負責人杰森-哈迪克斯表示,漏洞價格每年都在穩步上漲。價格因漏洞而異。如果是對服務器進行遠程代碼執行的0day漏洞,或是一個未知的低信息層漏洞,那么價格梯度相對較高。有些0day漏洞的價格高達344,880元。這只是一家漏洞懸賞平臺上的價格,其它市場的價格更高。國外知名漏洞收購平臺Zerodium一個0day漏洞最高報價大約為1035萬。該公司首席執行官2015年在接受采訪時表示,公司每月要向未公開披露漏洞的提交者支付約414萬。他當時預測,到2015年年底,公司每月約要支出690萬。
網絡武器交易市場與漏洞懸賞等防御市場價格懸殊較大,其原因在于:由于要滿足軍事和政府客戶的需求,0day漏洞銷售商具有特定需求。
網絡安全公司Luta Security的創始人兼首席執行官表示,漏洞懸賞平臺和其它防御性比賽給出的價格過低,無法與專門的銷售市場價格競爭。如果漏洞懸賞平臺價格與銷售市場價格一樣高,那么公司就承擔不起全職員工的高額薪資。漏洞市場的杠桿要復雜得多,不止是簡單的價格問題。激勵措施必須具有創造性和獨特性。
未來黑客利用社會工程發起攻擊或呈增長趨勢考慮到找到0day漏洞的難度加大,攻擊者越來越多地轉向社會工程等不同的策略攻擊目標。
哈利指出,這種趨勢迫使惡意黑客另尋他法,這就是他們選擇使用電子郵件網絡釣魚季活動或社會工程攻擊目標的原因。如果操作系統被硬化,如果黑客無法愚弄操作系統,那么通常會退求其次,愚弄用戶。
賴斯稱,攻擊組織機構最簡單的方式就利用Flash或Windows的漏洞。
對于許多對手而言,攻擊組織機構最簡單的方法通常是從員工和自制軟件下手,因為這些軟件的成熟水平不及知名大公司,例如Google、Microsoft或Adobe。
哈迪克斯表示,0day漏洞價格上漲是好事。他預測,隨著越來越多的企業啟動漏洞懸賞計劃,采用大型廠商采用的安全策略提高防御水平,這種趨勢未來仍將繼續。
京公網安備 11010502049343號