安全面临新态势 漏洞成为“众矢之的” 原创

回顾2017年的多起重大安全事件，我们不得不给出这样一个观点，即安全漏洞日趋增长，危害性越来越高，导致安全漏洞已经成为目前网络安全领域中的最大焦点。同时，这一观点也在众多安全厂商之间达成共识，大家纷纷推出各自的应对措施，下面就让我们来综合的看一看目前安全漏洞的主要发展态势及主要应对手段。

安全漏洞成倍增长

据NVD（美国国家漏洞数据库）最新数据表明，2017年全年新增漏洞数量14643个，有史以来第一次突破了1万大关。而2016年该项数据仅为6447个，可见2017年新增漏洞数量较2016年增长超过了一倍。

而在国内方面，2017年5月由国家计算机网络应急技术处理协调中心发布的《2016年中国互联网网络安全报告》中指出，2016年国家信息安全漏洞共享平台（CNVD）共收录通用软硬件漏洞10822个，较2015年漏洞收录总数8080个，环比增加了33.9%。

此外，随着云计算、大数据、人工智能、物联网、移动支付等互联网新兴技术的不断出现，安全漏洞激增的这一态势也将愈演愈烈，无论从所波及范围，还是危害程度都将成倍增加。从2017年的数据泄露、网络攻击事件中所呈现出的整体状态来看，安全漏洞所带来的巨大隐患不容小视，这也让众多安全厂商面临着一场前所未有的安全挑战。

从另一方面来看，人工智能、大数据等新兴技术的迅猛发展，也为漏洞挖掘提供了更高效的手段，利用自动化漏洞挖掘工具替代人工漏洞挖掘工作使得发现新漏洞比以往更加容易。因此，国内外权威漏洞平台在2017年公布的漏洞数量出现了一个跨越式的增长。

安全漏洞之殇

从2017年初的“永恒之蓝”漏洞，再到年底曝出的“Meltdown”和“Spectre”CPU漏洞，可以说2017年的安全领域给人的印象就是“千疮百孔”，很多遗存的漏洞都在这一年中被暴露出来，而且还都造成了比较可观的影响及后果。

以出现频率和造成危害最严重的“零日”漏洞为例，先后就有多个高危的Office漏洞被曝出，其中很多已经被APT组织所利用。而供求关系决定了其漏洞价值，从国际知名的0Day漏洞掮客ZERODIUM给出的漏洞支付价格就可以看出，移动终端系统以及应用漏洞的价格明显高于传统桌面、服务器操作系统的漏洞价格。

值得注意的是，从相关交易记录来看，漏洞买家对于新兴领域的漏洞更感兴趣，也更抢手。从2013-2016年国内权威漏洞机构CNVD所收录的移动互联网行业漏洞3409个，工业控制行业漏洞559个就可见一斑。

安全漏洞应对之策

目前，包括安全研究机构、互联网公司、网络安全厂商在内，甚至黑产对安全漏洞的重视程度都在提高。同时，大家也都在加大对漏洞的相关研究力度和投入。据Gartner预测，2018年全球安全支出将达到960亿美元，比2017年增长8%。面临如此严峻的网络安全形势，除了在政策法规层面不断完善和规范之外，我们又将如何更好的去管理和弥补漏洞带来的威胁呢？

从对漏洞攻击的长期观察来看，一般基于漏洞的攻击形式都将经历发现、利用、危害，最后逐渐消亡的一个周期，这也是漏洞的生命周期。而漏洞的生命周期对于漏洞的应急处置有着非常重要的意义，因为几乎所有的安全产品都会围绕这一周期进行多维度的防护来应对漏洞攻击。

我们从“震网”事件中“0Day漏洞攻击”的高发区可以看出，目前工业控制系统的漏洞已经被众多黑客组织所“相中”，因此工业控制系统用户应该加大对所使用的工控设备、协议等漏洞防护的投入和力度，主动去挖掘工业控制系统中可能存在的漏洞，明确漏洞形成的机理和相应的攻击方式，为漏洞的弥补提供有效信息，保障工业控制系统的安全可靠运行。

另外，用户及时从厂商获取漏洞补丁，进行系统性的修复工作仍然是十分重要的，但这也不能完全避免类似的攻击出现。因此，在条件允许的情况下，企业应当尽可能建立起一套完整的安全防护体系，其中至少应该包括漏扫、预警、跟踪、管理等一系列手段，让漏洞响应机制逐渐形成规范和标准，从而为企业发展营造一个更加健康的发展环境。