“用指尖改变世界”
漏洞是网络安全事件的重要组成元素之一,通常与漏洞利用工具(exploits)、恶意软件(malware)等其他威胁一起构成潜在风险。
根据CVE Details的统计数据显示,2017年报告的漏洞数量已经创造了历史上的最高纪录,彻底粉碎了往年的纪录。不仅如此,被评定为“关键(critical)”的漏洞数量也同样在刚刚结束的一年达到了历史最高水平。
2017年有超过14709个漏洞被报告,而在2016年这个数值仅为6447。换句话说,与2016年相比,2017年的漏洞总数已经翻了超过一番,比上一年增加了约120%。
需要指出的是,这一增长实际上甚至可能高于这个数字。因为这些数据并不包括零日漏洞,统计的漏洞要么在实际攻击活动中被发现的,要么是由受影响厂商的IT团队或者其他第三方安全公司发现并通报的。
值得指出的是,在2017年,每天平均有40个漏洞被报告,而在2016年每天平均被报告的漏洞数量仅为17个。
另外,漏洞的严重程度也在随之增长。漏洞的严重程度取决于各种因素,例如它们对数据的机密性、完整性或可用性的影响,以及使用哪种攻击媒介、攻击的复杂性、所需特权以及影响的用户群体。
关于漏洞严重程度的评定,通常基于通用安全漏洞评分系统(CVSS)。它旨在为评估漏洞的影响提供一个开放的、标准化的解决方案,从而用来量化其严重程度。目前,该系统的两个版本正在使用:CVSS v2.0和CVSS v3.0。
在CVSS v2.0版本中,有漏洞的严重程度分为三类:分数在0.0到3.9之间,为“LOW(低)” ;介于4.0到6.9之间,为“MEDIUM(中)”;在7.0和10.0之间,为“HIGH(高)”。
对于CVSS v3.0版本,被细分为五个类别: 无 (0.0)、低 (0.1-3.9)、 中 (4.0-6.9)、高 (7.0-8.9)和 关键 (9.0-10.0)。
根据这些严重程度划分,美国国家漏洞数据库(NVD)的记录显示,在2017年,CVSS v2.0评定为“高”的漏洞以及CVSS v3.0评定为“关键”的漏洞数量均有所增加。
在过去的5年中,在CVSS v2.0中被评定为“高”的漏洞数量一直在持续增长,从2016年的2470个增长到了2017年年底的4100多个,增幅超过60%。
而在CVSS v3.0中被评定为“关键”的漏洞数量更是增长迅速,从2013年的0个激增到了2017年年底的2070个,这也几乎是2016年的两倍。
通过上面的数据我们可以看出,无论是漏洞的总体数量,还是被评定为“高”以及“关键”的漏洞数量都在逐年增长。2017年可以说是安全漏洞“狂欢”的一年,随之而来的是网络安全事件的频繁。
2018年已经到来,从CVE Details的最新记录来看,自1份以来,已经有超过1427个漏洞被记录在案。随着物联网以及智能设备的发展、越来越多的企业将虚拟化基础设施平台推向云端,我们有理由相信,这种威胁态势不仅将继续延续,而且会表现得更加迅猛。
本文由黑客视界综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
领取专属 10元无门槛券
私享最新 技术干货