关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块疫情追踪活动众测会员商城福利换券
漏洞之于网络世界,一直是杀伤力足以媲美原子弹、核武器一般的存在。

细数2019年典型的“超级漏洞”案例,我们能够感受到刚过去这一年的“惊心动魄”——


1月,由360安全研究员发布的一个内核漏洞的概念验证(PoC)拉开序幕,该漏洞可帮远程攻击者在不惊动用户的情况下越狱 iPhone X,访问目标设备上的数据,利用设备计算能力等等;

360社区

360社区


2月,遗留19年之久的WinRAR代码执行漏洞被曝光,利用此漏洞可构造恶意的压缩文件,诱使受害者下载运行后可完全控制目标电脑,5亿以上用户瞬间陷入压缩危机;

360社区

360社区


5月,微软蠕虫级漏洞“BlueKeep”曝光,近 100 万台设备置于高危漏洞之下。攻击者一旦成功利用,便可以在目标系统上执行任意代码,包括获取敏感信息、执行远程代码、发起拒绝服务攻击,甚至不排除再复制一次WannCry蠕虫风暴,360等安全厂商加紧发布免疫工具和缓解措施;

360社区

360社区


7月,谷歌Project Zero 团队发现iOS系统存在6个“无交互”安全漏洞,可通过iMessage客户端直接发动攻击,而目标用户无需做任何点击交互;

360社区

360社区


8月,英特尔X86处理器高危漏洞Spectre出现变种,该漏洞允许黑客窃取内核内存敏感信息,且不会留下对硬件的攻击痕迹;

360社区

360社区


11月,WhatsApp缓冲区溢出漏洞引发DoS/ RCE攻击,可被用来安装间谍软件,Android及 iOS系统双双沦陷;

360社区

360社区


由点及面,再从整体数据来看,全球漏洞体量也在连年攀升。

# 国家信息安全漏洞库(CNNVD):
CNNVD在2019年公布的漏洞数量为17316个,全年增长率约为6.26%。
# 美国国家漏洞库(NVD):
NVD公布的漏洞数量为17314个,全年增长率约为4.84%。
# 公共漏洞披露平台(CVE):
CVEdetails公布的漏洞数量为16778个,全年增长率约为8.06%。

结合近几年数据来看,漏洞数量逐年增长趋势毋庸置疑,其背后更是足以震荡全球的安全威胁:老漏洞沉疴难愈,新漏洞层出不穷,大有按下葫芦起了瓢的架势。

下面,零日给大家总结一下今年漏洞相关的几点趋势。

趋势1:各类漏洞危机四伏,工控漏洞首当其冲

结合2019年的典型案例来看,通用型漏洞、事件型漏洞分别趋向不同的特征。

从类型上来说,漏洞整体呈现如下趋势:通用型漏洞,底层硬件漏洞或将成为重大杀器;事件型漏洞,数量随着智能设备发展而猛增。

以英特尔处理器漏洞事件为例,该漏洞基于Spectre(幽灵)、Meltdown(熔断)等其他CPU漏洞之上,聊天记录、电子邮件等敏感信息在该漏洞面前与攻击者坦诚相见。

且影响范围之大,令12年以来的所有英特尔CPU、Intel或AMD处理器的X86-64系统全部列入易受攻击范围。以此为代表的底层硬件漏洞,可影响几乎所有使用相关处理器芯片的计算机设备,可见底层硬件漏洞的破坏力。

在通用型漏洞中,底层硬件漏洞因其范围广、隐蔽性高、危害大,且具备难以快速修复的特点,将成为“杀手级”网络攻击武器。

至于事件型漏洞的发展趋势,则因智能设备和云的普及而迅猛增长。

2019年,iOS系统无交互漏洞、蓝牙密钥协商攻击漏洞就是最典型的例子。

拿蓝牙密钥协商攻击漏洞来说,包括智能手机、笔记本电脑、智能物联网设备和工业设备在内的超10亿台蓝牙设备,均在其威胁之下。万物互联,漏洞威胁如影随形。

我们应该认识到,随着物联网发展智能设备激增,事件型漏洞数量也呈爆发趋势。

另外,零日认为还需要特别注意的一点,工控设备漏洞带来的深度威胁持续攀升。

2019年,媒体曝光美国将网络攻击的利刃插入俄罗斯电网系统,随后又掉转矛头剑指伊朗,国家间的网络攻击不再是科幻大片桥段。

与此同时,全球工业互联网安全漏洞持续高发,工控设备漏洞不仅关系到行业安全,更成为国家网络攻防争夺的战略高地。

也就是说,工业互联网的发展导致利用工控设备漏洞攻击事件的威胁加剧,主动发现工业互联网设备漏洞对于网络安全来说至关重要。

趋势2:各类漏洞行情连年暴涨

既然漏洞的重要性显而易见,其行情自然也是一片大好。无论是过明路的漏洞军火商,还是黑市暗网,漏洞的价格每年、甚至每天都在暴涨。

先来看“挖洞界二道贩子”Zerodium的价格表,安卓漏洞价格最高达250万美元,出价几乎是去年的12倍。

360社区

360社区

(Zerodium最新变更日志)


对比2017年和2019年的WhatsApp RCE+LPE漏洞价格,Zerodium标价分别为$500,000和 $1000,000,两年之间身价翻了一倍。

360社区

360社区

(2019年与2017年WhatsApp RCE+LPE漏洞价格对比图)


从台前退回到幕后,黑市上交易的漏洞同样身价不菲。

在暗网上,漏洞交易服务基本拥有自己的专区专栏,而且交易价格远高于各大平台的赏金。一个有价值的Win10漏洞赏金可能只有几万美元,而在黑市交易上,其价格可以翻几倍、几十倍,甚至是几百倍。

根据Hacking Team的说法,一个普通的漏洞交易价格也就是在3.5-4.5万美元之间,卖给他们,价格能翻三倍,更别提那种有价值的iOS漏洞,拿到几十万美元稀松平常,

确实,最新的Flashpoint报告《网络犯罪商品的定价分析》也告诉我们,暗网上包括漏洞在内的网络攻击服务、黑客攻击工具的价格每天都在上涨。

趋势3:全球大厂高赏金求安全

暗网漏洞交易黄金万两,但有道德操守的黑客通常都会将漏洞提交给各大厂商,毕竟厂商们的赏金也非常可观,且正在逐年攀升。

奖金数额的提升和范围扩大皆能表明,厂商们已然意识到了漏洞对安全的重要性。

2010年开始悬赏漏洞的谷歌,其最高基线奖励从 5000 美元升至15000 美元。2019年,谷歌提升了Chrome、Chrome OS 和Play的漏洞奖励金额,同时将Android Bug赏金计划的最高奖金上调至150万美元。

再看微软,从2012年开始推出了多项针对Windows的漏洞奖励计划,Spectre(幽灵)、Meltdown(熔断)类漏洞赏金最高可达25万美元。前不久,微软刚推出的“身份服务漏洞”悬赏计划,最高单价为10万美元。

今年,“抠门”的苹果也一反常态,刚公布的 “安全漏洞奖励计划”将最高赏金提升至100万美元。


360社区

360社区


Facebook不仅悬赏金额高,就连通常不予奖励的第三方应用漏洞也纳入悬赏范围内。

除了这些科技巨头之外,还有类似卡巴斯基的一些安全厂商也有自己的漏洞悬赏计划。漏洞赏金逐年攀升、悬赏范围逐步扩大,漏洞之于厂商的重要性不言而喻。

趋势4:漏洞成国家博弈战略资源

上升至国家层面,漏洞作为网络攻防制胜的关键,已是重要战略资源并影响国家博弈。

上文提及,中美国家漏洞库2019年收录漏洞接近40000余个,倘若这些漏洞一旦被用于网络攻防实战,无疑将成为国家作战部队取之不竭的军火库。


360社区

360社区


在利用漏洞军火这方面,美国可是前科累累。去年6月,利用未披露漏洞对伊朗导弹系统发起攻击,美国全面攻陷伊朗导弹系统。

360社区

360社区


(著名漏洞军火商Zerodium 2019年漏洞“价牌”)


也正是因为漏洞“核武级”的安全威胁,诱发了全球范围内此消彼长的漏洞军备竞赛。

NSA美国网络军火库就全球撒网,斥巨资长期搜寻漏洞资源,以色列、英国、俄罗斯、印度也紧随其后,抢占漏洞资源积极备战。

趋势5:漏洞认知存致命短板

网络安全的底线,取决于最短的那块板。

相比于军政领域高度重视,关键信息技术设施领域对漏洞的“核级威胁”认知明显偏低,这正是网络安全的短板之一。

360社区

360社区



就拿航空航天这一关键信息基础设施建设来说,2019 POC安全大会上,曾披露Blockstream卫星链路卫星调制解调器EDMAC远程控制功能的物理地址认证缺失漏洞,可被攻击者用于切断卫星链路。

如若这些漏洞被用于国家间的网络对抗,失去卫星通信控制的一方,通信、交通、能源和网络系统都可能遭受灭顶之灾。


360社区

360社区


由此看来,航空航天、电力、水利、石化、冶金、汽车这些关乎国计民生的关键基础设施,不仅安全防护严重滞后,甚至还存在防护能力几乎为零的情况。

漏洞这个网络安全的顽疾,确实有不治恐将深之势。

每一个漏洞都是开启全球网络浩劫的入口,它让发现者有了危害社会的巨大能量,尤其是在网络空间国家博弈的情况下,掌握漏洞就如同掌握了军火武器资源。在漏洞“武器化”的当下,国家、企业与个人都应树立网络安全大局观念,将看不见的威胁转变成“看得见”的实力。否则,皮之不存,毛将焉附?


来源  360企业安全

共 1 个关于盘点2019年之漏洞危机:明码标价的漏洞背后,是不治恐将深的安全沉疴的回复 最后回复于 2020-1-16 08:05

评论

直达楼层

vixenxyy LV11.大校 发表于 2020-1-16 08:05 | 显示全部楼层 | 私信
关注~~~!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:165 关注:12 积分:154977

精华:298 金币:176347 经验:123594

最后登录时间:2020-2-22

360AI音箱MAX-M1 公测AI小水滴D903 安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360会员商城青铜会员

私信 加好友

最新活动

首席活动体验官招募啦!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表
        kele8