零日漏洞风险的现状与趋势

安全 漏洞
零日漏洞一直让安全从业者头疼。阴魂不散的零日问题的根源之一,是开源代码的不断扩散。这也是很多人想要知道零日漏洞当前趋势,以及缓解开源代码风险最佳实践的原因所在。

零日漏洞一直让安全从业者头疼。阴魂不散的零日问题的根源之一,是开源代码的不断扩散。这也是很多人想要知道零日漏洞当前趋势,以及缓解开源代码风险最佳实践的原因所在。

[[183280]]

网络安全风投公司最近发布了一份新的《零日漏洞报告》,为CISO和IT安全团队提供零日漏洞趋势、统计数据、最佳实践和资源。

该报告凸显了一些预警性统计数据,包括:

应用攻击界面每年增加1110亿行软件代码

任务关键App中的开源代码将占99%

麦克·卡顿,Digital Defense 研发副总裁,称:“从安全角度看,开源代码的大量使用是有问题的。越来越多的公司不断投入开源代码怀抱,作为削减营销周期,尽快将产品推向市场的一种手段。”

由于一块代码可作为软件组件应用到多种设备中,这种组件中发现的零日漏洞复现率就可能倍增。你通常会在各种各样的设备和平台上发现一连串的漏洞。

推向市场的压力,催生了在企业产品中集成进更多库的新趋势,但这每一个库,都代表着潜在的漏洞风险。

卡顿称:“在以前,原生代码开发所占比重还要更大些。但使用开源代码的好处,在于代码质量更高;坏处,则显现于有人找到漏洞之时。如今,16个产品都出现了漏洞。”

开源组件和企业产品中常会发生的事情是,开发人员将库集成进产品,却没有对它进行加固。但凡集成时有个坚实的配置,情况都会好很多。

那么,企业到底需要做点什么来解决这些漏洞呢?”每一行代码都是一个攻击系统。某个库能干25件事,但我们只需要其中2件。那就要确保只有用到的那些确实暴露给执行代码。”

造成零日漏洞增多的另一个问题,是公司在同一个产品中使用2或3个解决方案。“他们可能会使用2到3个数据库或SML解析器,但仅使用能搞定所有需求的一个平台或一个组件,才是更好的选择。”

强防护,来自于选择正确的工具。“SQL轻量级组件,更少代码,更少功能,但有的都是与你任务相关的那些。”

虚拟化趋势,也降低了攻击者进入系统查看某些此类产品后台的门槛。“你可以下载一个虚拟机。企业应用空间里触手可及的目标很多。”

这个问题真心在厂商自身身上。“他们得注意到攻击者真的能这么做,确保他们自己先来一遍严格的安全评估。”

责任编辑:武晓燕 来源: 安全牛
相关推荐

2019-08-26 00:30:48

2009-03-02 18:49:44

2015-01-19 10:21:33

2018-07-02 15:03:09

2022-04-01 10:04:27

]零日漏洞漏洞勒索软件

2019-09-04 09:08:59

2013-10-15 10:22:43

2009-11-13 08:41:46

2009-07-08 19:44:56

2011-01-11 09:29:21

2021-02-06 09:57:00

GoogleChrome漏洞

2015-04-21 10:47:17

2022-04-26 10:01:44

网络安全勒索软件网络攻击

2011-01-05 09:52:30

微软谷歌零日漏洞

2024-03-29 15:34:37

2022-07-26 14:30:57

漏洞黑客网络攻击

2021-03-05 16:11:54

Chrome零日漏洞谷歌

2022-08-10 09:11:23

开源开发者开源项目

2021-04-14 09:50:48

零日漏洞漏洞网络安全

2014-05-05 10:12:35

点赞
收藏

51CTO技术栈公众号