被披露的漏洞中只有百分之一被实际利用

  你们为什么要没完没了地发布补丁?漏洞利用率那么低,大家回家洗洗睡吧。

  思科公司在最近发布的年度安全报告中发现了一种常见但同时又呈现出新兴趋势的混合现象:人们的安全意识仍然非常幼稚,仍有大量未经补丁修正的软件散布于世,而且攻击者们一直在针对防御措施构建新的威胁类型。

  这份报告指出,攻击者们始终在认真学习并了解当前安全趋势。举例来说,面对垃圾邮件过滤器及其它一些能够令恶意人士快速落网的方案,攻击者们开始大规模使用所谓“雪鞋”攻击:大量汇聚被突破的主机,但其中每一台主机只发送数量很低的垃圾邮件。

  除了曾经发布过的研究结果之外,我们还与思科安全事务澳大利亚/新西兰总经理Anthony Stitt就此进行过探讨,并询问他有哪些工作成果值得作为各位读者朋友的参考与借鉴。

  Stitt强调称,“CSO与安全管理团队之间在保护级别问题上存在着显著差异。”

  CSO们往往对安全事务过度自信,Stitt解释称,这意味着安全体系的大脑与肢体之间存在着信息不对等问题。

  “信息安全管理团队有机会进一步提升其运营安全工作的透明度,”他表示。

  让我们好奇的是,他为什么能够肯定这种机会真实存在、而非仅仅是“似有实无”。无论如何,我们真的很难想象一位安全管理部门员工能够在向老板强调“我们的安全水平根本没你想象的那么强”之后还能保住工作——不知道Stitt对此会做何解释。

  “大家可能更赞赏市场营销工作中的常用表达方式,即我们永远不可能达到100%的安全高度,”他回应称。“安全的核心在于适合性……当前风险处于何等级别、威胁环境下又呈现出怎样的趋势。”

  “要弄清这个问题,需要进行一次详尽而且深入的对话,”他指出,并强调称需要“立足于企业运营条款探讨安全问题”。

  “思科公司正在努力推动与此相关的探讨,希望让客户更清晰地了解我们所具备并且销售的技术方案。”

  “我们也一直倡导将安全理念分为‘前、中、后’三个执行阶段——即对攻击活动进行预估、遏制以及事后整治,”他解释道。

  “安全管理团队不妨通过这样的方式与CSO进行沟通,‘我们面临着安全攻击威胁,但完全可以通过以下步骤应对盯着问题,从而将原本需要数天、数周甚至数个月的处理工作压缩到数小时之内。’”

  “我们从目前曝出的各知名攻击事件中得到的经验在于,攻击者已经在目前的安全环境下活动了很长时间。我认为企业需要正视问题、加强交通,承认内部环境下的安全漏洞,同时将相关工作视为前、中、后三阶段全面覆盖的完整处理体系。”

  他进一步指出,安全管理人员应该向CSO建言:“我们需要某某工具、某某数额资金以及多少位相关员工,因为……我们希望在12小时内而非24或者48小时才解决问题,毕竟这是企业业务正常运转的重要窗口。”

  讨厌的浏览器

  在某些环境下,浏览器补丁似乎成为最令人头痛的疑难杂症,Stitt表示。根据思科方面的观察,目前有64%的浏览器访问操作源自经过补丁修复的浏览器——但这一比例仅限于Chrome浏览器范畴。如果将着眼点放得更远、例如立足于IE,那么只有10%的浏览活动来自经过补丁修复的浏览器。

  “因此,有90%的IE事务操作面临着不同程度的安全风险,”他总结称。

  下面我们再来对补丁作出一番审视:Heartbleed仍然存在,Stitt强调称,而且“根据我们的观察,大约56%比例的SSL实例仍然未能得到修复……也就是说56%左右的OpenSSL仍然属于四年半甚至更陈旧的老版本。”

  在大多数情况下,上述问题的“真凶”是那些已经被持有者遗忘、因而从未得到修复的废弃网站。

  作为评判僵尸站点的有力证据,Stitt表示,“大家只需要看看恶意人士们如何利用那些陈旧、遭弃且未经补丁修复的WordPress站点就能明白”。

  选择自己的CVE

  另一项引发了我们深厚兴趣的统计结果是,在每一年所曝光的大量安全漏洞当中,思科认为其中只有1%比例会被攻击者们所切实利用。

  “这项统计结果既是好事也是坏事,”Stitt指出。“从好的方面讲,如果我能够找哪些CVE(即通用漏洞披露)属于这被利用的1%,那么补丁修复工作将变得更为简便。”

  “但如果我做不到这一点,那么恐怕只能选择‘修复一切’这种有效但却毫无效率可言的办法了。”

  在就这一问题作出评估时,Stitt指出,安全管理团队的最佳战略在于“寻求安全专家们的帮助,了解目前有哪些安全漏洞已经受到利用……同时优先修复那些被广泛利用的CVE。”

  这项统计结论“……强调称绝大多数安全漏洞——其中包括我们自己产品内的漏洞——并不一定会成为恶意人士手中的凶器。它们往往只是一些存在于少部分解决方案当中的CVE,根本不足以构成真正的远程安全威胁。”

  另外一大不可忽视的因素就是用户……

  用户行为是个长期存在的问题,而且安全意识培训并不足以彻底解决这个老大难问题。

  “在我们的内部研究工作当中,一部分用户就是会在自己收到的任意内容上随便乱点,”他指出。“单单依靠安全意识培训确实还远远不够。”

  “这个问题对于每一家企业及机构都真实存在……如果大家观察IE与Chrome两种浏览器的补丁安装水平差异,就会明显发现将决定权从用户处转移到自己手中、相当于给安全工作帮了一个大忙。”

  “如果大家能够实现自动化补丁安装,那么至少能够在一定程度上显著降低安全风险可能带来的损失,”Stitt表示。

  “培训用户的同时也要假设出最糟糕的状况,即他们还是会点击那些本不该点击的链接。大家需要对客户所具备的现有架构及业务环境作出调整,其中包括那些有可能点击恶意链接的用户自身。”

  “这是一个人为性难题,而且糟糕程度仍在不断深化——我们必须采取上述应对措施。”

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:赛迪预测2015年中国网络安全十大趋势