安全新形势下 如何“洞”见未来

随着互联网行业持续稳健发展，人工智能、大数据、物联网、移动支付等新技术不断涌现，这些新技术在加速经济社会各领域深度融合的同时，也使得网络安全面临更大的挑战。在刚刚过去的2017年，数据泄露、网络攻击、漏洞发现等各层面都呈现爆发态势，无论在数量还是影响面上，均超过以往任何一年。因此，我们需仔细分析当下安全形势，以更好的进行信息安全建设。

安全漏洞激增 攻击事件屡见不鲜

从国外新增漏洞数量来看，据NVD(美国国家漏洞数据库)最新数据表明，2017年全年新增漏洞数量14643个，历史上第一次突破1万的大关!而2016年该项数据仅为6447个，2017年新增漏洞数量较2016年增长超过一倍!

从国内新增漏洞数量来看，2017年5月由国家计算机网络应急技术处理协调中心发布的《2016年中国互联网网络安全报告》中指出2016 年，国家信息安全漏洞共享平台(CNVD)共收录通用软硬件漏洞 10822 个，较 2015 年漏洞收录总数 8080 个，环比增加33.9%。

随着日益增多的安全漏洞被发现，利用安全漏洞的安全事件日益增多及危害日益严重，安全漏洞已成为网络安全的热点和焦点。回顾2017年重大安全事件的发生，从年初的“永恒之蓝”漏洞到年底“Meltdown”和“Spectre”的CPU漏洞，回忆起来仍然胆战心惊!从传统的互联网漏洞到移动应用漏洞，再到新兴的物联网漏洞，覆盖范围之广，漏洞数量急剧增加，让安全厂商应接不暇，市场用户谈“洞”色变。

三方面原因推动漏洞数量持续走高

窥一斑而知全豹，上文提到的新增漏洞情况及攻击事件只是2017年信息安全情况的一个缩影，而导致去年出现众多的严重漏洞,尤其是数量如此之多的“零日”漏洞被公布的原因主要分三方面：

1)漏洞产生来源拓宽

近年来随着移动互联网、云计算、工控、物联网等新兴领域的快速发展，伴随而来的漏洞也如春笋般不断被发现， 2013-2016年国内权威漏洞机构CNVD共收录移动互联网行业漏洞3409个，工业控制行业漏洞559个。

从国际知名的0Day漏洞掮客ZERODIUM给出的漏洞支付价格可以看出，移动终端系统以及应用漏洞的价格明显高于传统桌面、服务器操作系统漏洞。供求关系决定漏洞价值，漏洞买家更加迫切需要新兴领域的漏洞。

2) 漏洞研究投入增加

安全研究机构、互联网公司、网络安全企业甚至于黑产对漏洞的重视程度越来越高，都在加大漏洞相关研究的投入力度。以启明星辰Adlab为例，仅2017年1-8月，ADLAB原创的漏洞中，CNVD已确认原创漏洞174个，CVE已确认原创漏洞244个。

3)漏洞挖掘效率提升

人工智能、大数据等新兴技术发展迅猛，为漏洞挖掘提供了更高效的手段，通过用自动化漏洞挖掘工具替代人工漏洞挖掘的部分工作使得发现一个新漏洞比以前更加容易。因此，国内外权威漏洞平台在2017年公布的漏洞数量出现了一个跨越式的增长。

法律法规出台 整治漏洞乱象

从上文可以看出，新兴技术的产生、漏洞挖掘效率的提高、黑产对于漏洞的重视程度等都使得网络安全漏洞频增。面对如此严峻的网络安全形势，全球各国政府相继出台网络安全法律、条例，我国今年正式实施的《中华人民共和国网络安全法》使得相关工作也将进入有法可依、强制执行阶段。《网络安全法》明确指出，网络产品、服务的提供者以及网络运营者应对漏洞进行及时处置和上报;应遵守国家有关规定开展漏洞评估活动和向社会发布漏洞信息，并对违反相关法律条款的责任人和责任单位给出了相应处罚措施。

如何更好地进行漏洞管理

政策法规的颁发使得网络安全的重要性和意义不断得到提升，信息安全产业也正在迎来更健康的的发展环境。作为专业的信息安全从业者，我们更应该肩负起网络安全的建设工作。

经过长期研究，我们发现漏洞从客观存在到被发现、利用，再到大规模危害直至逐渐消失，这整个过程存在一个时间周期，就是漏洞的生命周期。漏洞的生命周期对于漏洞的应急处置有着极其重要的意义。以漏洞公布时间和漏洞利用工具出现时间为参考可以将漏洞利用分为三个阶段：

阶段一(0Day)：

这个阶段是发现漏洞到正式公布漏洞之间的时间，在这个阶段里，漏洞发现者会将漏洞的利用细节等相关信息通告到漏洞相关企业和组织、漏洞权威机构、三方论坛等;

阶段二(1Day)：

这个阶段是漏洞正式公布初期，大致1到3天，在这段时间里不法分子、黑产会快速的开发出利用漏洞的攻击工具并开始大范围扩散;

阶段三(NDay)：

在这个阶段，漏洞相关的厂商和组织已经发布漏洞修复补丁，受影响的组织和个人逐步完成漏洞修复工作。可通过漏洞攻击的目标在逐渐减少，漏洞利用工具的攻击效果下降直至无效。

针对漏洞生命周期不同阶段的特点，我们应该在正确的时间采取正确的处置措施.：

1、0Day漏洞：

通过启明星辰天镜漏洞挖掘系统对自身系统进行漏洞相关的安全研究，挖掘潜在的0Day漏洞，并进行修复。由于工业控制系统自身的特性，从“震网”事件出现以来就是遭受“0Day漏洞攻击”的高发区。工业控制系统漏洞问题随时可能引发的严重后果，因此工业控制系统的用户需要加大对所使用的工控设备、协议等的漏洞挖掘研究投入力度，去发现工业控制系统中可能存在的漏洞，明确漏洞形成的机理和相应的攻击方法，为漏洞的弥补提供有效的信息，进而保障工业控制系统的安全。

2、1Day漏洞：

从时间和收益来看，对漏洞进行应急响应的最佳时间是1Day漏洞，这个阶段也就是漏洞公布后的1-3天内，错过了这个最佳的时间就很可能会遭受攻击。因此，针对1Day漏洞的应急响应是一场与攻击者争分夺秒的无声战争。使用启明星辰天镜漏洞管理平台+天镜漏洞扫描引擎的绝佳组合，能够在拿到漏洞信息的第一时间形成预警并进行全网漏洞评估，及时将漏洞通知到具体责任人，修复超时则通知到相关领导进行督促，直至完成漏洞修复。

3、NDay漏洞：

在厂商发布补丁后，用户逐步完成漏洞的修复工作，但不免有一些未及时修复，给攻击者可趁之机。因此启明星辰天镜漏洞管理平台提供了一套集漏洞快速预警、漏洞发现和跟踪为一体的漏洞管理体系，让漏洞响应规范化、标准化、常态化，持续的检查、跟踪漏洞状态，帮助用户根治NDay漏洞。

结束语

目前，网络空间的安全问题已经成为人类进入信息时代最为严峻的共同挑战。近期，据Gartner预测，2018年全球安全支出将达到960亿美元，比2017年增长8%。Gartner研究人员称，“总体而言，大部分安全支出是对安全漏洞响应的花费，近期发生了很多大型网络攻击事件，对全球的组织机构及企业都产生了影响。WannaCry、NotPetya 等严重的网络安全事件会持续影响安全支出。”

“知己知彼百战不殆”，在敌暗我明的网络战争中，我们必须比攻击者更早掌握自身的安全漏洞并且及时修复，只有这样才能够有效地预防入侵事件的发生。作为国内最早研发漏洞评估与管理产品的网络安全公司，启明星辰将一直密切跟进时代发展，结合用户需求变化，通过持续的安全研究和研发投入不断创新，以最有效的方式帮助用户提升脆弱性评估与管理能力。