兰德公司一份新研究报告称,零日漏洞——开发人员没打补丁或没发现的漏洞,平均生存期为6.9年。
该研究分析了200多个此类漏洞,并调查了这些漏洞被不同组织发现的频率。独立发现的罕见性,以及缺陷存在的长期性,意味着某些兼具攻防两方面职责的组织(情报机构),可以囤积漏洞。
超长时间线加上低碰撞率——两人发现同一漏洞的概率(大约每年5.7%),意味着曝光漏洞可提供的保护程度相当有限,而保持沉默,或者说“囤积漏洞”却是这些实体的合理选择——既可防御自身系统,又可利用别人系统中的漏洞。
该报告主笔,兰德公司信息科学家莉莲·阿布隆称:“典型的白帽研究员有更多的动力在发现零日漏洞之后就通告软件厂商。其他人,比如系统安全渗透测试公司和灰帽子,则倾向于囤积漏洞。但决定是囤积还是公开曝光零日漏洞/漏洞利用程序,就是个权衡游戏了,尤其是对政府而言。”
兰德公司分析的200多个现实世界中的零日漏洞及漏洞利用程序中,而这些中的40%都尚未公开。
该研究是此类分析中最全面的,报告在CIA网络武器库被踢爆仅2天后的发布,也是非常及时的。但安全专家很快就指出:弱口令、网络钓鱼和不打补丁的安全问题,比看起来“诱人”但有些过度炒作的零日漏洞,要危险得多。
安全仪表盘公司AlienVault安全倡导者贾伟德·马利克,对此评论道:“普通用户不用太过担心零日漏洞。网络罪犯更偏向于使用历经检验的方法来攻击用户,而且已经建立了相当有效率的一套过程。比如说,网络钓鱼,或者勒索软件。大公司,比如金融服务、关键国家基础设施,以及各国政府,往往才需要将零日漏洞和针对性攻击纳入其威胁模型。”
安全工具公司TRipwire安全研究员克雷格·杨,质疑了该研究的方法学。
兰德公司的研究各方面看都很不科学。首先,他们只调查了200个漏洞,这在每年发现的漏洞中所占比例是很小的。
仅记录一部分公开披露漏洞的通用漏洞披露(CVE)计划,在2016年就发布了6,435个漏洞标识符,另有3,500个分配了却未公开的标识符。何况还有些黑客发现了漏洞却根本无意揭露呢?
该研究报告的另一大问题在于,里面的统计数据。比如漏洞利用程序平均开发时间为22天,是非常具有误导性的,因为漏洞的利用难度差异相当之大。
本文转自d1net(转载)
