安全漏洞正以五大方式隱藏在你系統中

雖然如今黑客的攻擊能力越來越強，技術迭代也讓人防不勝防。但就目前的大部分攻擊來說，黑客還是會先對那些本身有缺陷的系統下手，這樣成本收益會更高。俗話說蒼蠅不叮無縫的蛋，雖然每天我們都在呼籲企業和用戶要及時修復漏洞並關注自己硬體及軟體的安全，但企業和個人用戶一樣，往往心存僥倖，疏於安全管理。

我在軟體測試公司Veracode 2017年所發布的《軟體安全狀況報告》中發現，在各種高危漏洞被發現後的第一個月內，其中只有14％會被公司修補。在Veracode測試的所有應用程序中，超過四分之三的產品在首次被檢測時就至少存在一個漏洞。

Veracode研究副總裁Chris Eng表示：

公司需要關注並跟蹤他們所開發的各種軟體，並及時了解該軟體中的安全風險。雖然有些攻擊就連安全人員也未能提前預測到，但在這些緊急事件之前公司要做的就是修補那些已經被曝光過的漏洞。

比如Equifax，儘管Equifax在遭受黑客攻擊後，向其受影響用戶提供了信用檢測工具，但實際上很少有用戶使用，在1.45億受影響用戶中只有不到五分之一用了這個工具。近日，Equifax數據泄露升級，黑客所竊取的信息量要超過此前披露的。除姓名之外，黑客同時還竊取了稅務識別號碼、郵件地址、信用卡信息以及一些額外的駕駛證信息。

數據泄露的原因是因為Equifax公司使用的網路安全方案沒有足夠的能力來保護消費者的數據。該公司沒有選擇最合適的網路安全方案並且沒有遵循防止和緩解數據泄露影響的基本步驟。同時有人發現，Equifax的軟體漏洞修復的時間長達幾個月，這就給了攻擊者一個巨大的攻擊窗口期。另外Equifax把敏感信息保存在最容易訪問的系統中，當黑客利用Apache Struts漏洞獲取Equifax系統的許可權後，就發現了一個客戶信息庫。比如Equifax的軟體用的是世界上最流行的Java Web伺服器框架之一Apache Struts 2，不過Apache Struts 2也是漏洞頻出，其官方也正式通知了這些漏洞，不過Equifax並未及時修復。

目前安全漏洞正以以下五大方式隱藏在諸如Equifax等各大公司的系統中。

1.仔細檢測公司發布的每一款軟體

漏洞頻出的 Apache Struts 2在2017年佔據著人們的注意力，在這次大規模的漏洞事件中，雖然Equifax知道Apache Struts 2中的漏洞，但由於執行力的問題，有些漏洞會因此無法被修復。

比如，公司主管雖然用郵件通知開發人員來修復該漏洞，但由於開發人員經常會在他們的應用程序中使用當前版本的庫，然後從不更新組件，所以該漏洞也就沒有被修補。之後的安全掃描也只是評估了一部分Equifax系統，並沒有查出受Apache Struts漏洞影響的軟體。

根據Veracode的分析報告，在Struts 2漏洞案例中，當該漏洞於2017年3月發布時，該庫中的近50個不同版本（其中58％是易受攻擊的）正在被使用。除非公司定期徹底地掃描漏洞以確定他們需要修復的問題，否則，已知的缺陷將繼續潛伏下去。

Qualys漏洞管理總監Jimmy Graham表示：

雖然大型組織可能知道Struts漏洞，但他們並沒有進行正確的掃描來檢測存在的漏洞。這可能是因為他們不知道如何掃描他們的網路，來發現該有的漏洞。

2.對新型設備的安全追蹤

許多公司未能搜索到漏洞的原因之一就是缺乏對新型設備的安全監控。比如近年來用的最多的物聯網設備，由於種類繁多且當初在設計時還沒有考慮到安全問題，所以從家庭、辦公室使用的路由器到用於電話會議的設備，公司都缺乏相應的安全追蹤，更別說及時安全更新了。

例如，2017年11月23日，Check Point的研究人員發現蜜罐中有一些可疑的安全警告。經過調查發現了攻擊運行在37215埠，攻擊利用了已經公布的華為家用路由器HG532 CVE-2017-17215漏洞進行了一個大規模的殭屍網路即Satori殭屍網路事件。在研究人員確認了漏洞後，就通報給華為，華為安全團隊非常給力，很快對該漏洞進行了響應和修復，並提供了補丁。

根據Osterman Research最近的一份報告，目前市面上有一半以上的物聯網設備都沒有對應的漏洞修補程序。

Trustwave的SpiderLabs副總裁Lawrence Munro在一份聲明中表示：

由於更新物聯網設備本質上更具挑戰性，即使在發布補丁後，許多設備仍然很脆弱，並且通常情況下，補丁程序甚至都沒有被開發出來。要做到及時的修復漏洞，生產商就必須正確記錄和測試每個連接到互聯網的設備，否則就會面臨潛在的數千個新的攻擊載體，這些攻擊載體容易被網路罪犯利用。

再比如工業控制系統的SCADA(Supervisory Control And Data Acquisition)系統，即數據採集與監視控制系統。SCADA系統是以計算機為基礎的DCS與電力自動化監控系統；它應用領域很廣，可以應用於電力、冶金、石油、化工、燃氣、鐵路等領域的數據採集與監視控制以及過程式控制制等諸多領域。其安全性也經常被忽視，比如Stuxnet蠕蟲病毒（超級工廠病毒）是世界上首個專門針對工業控制系統編寫的破壞性病毒，能夠利用對windows系 統和西門子SIMATIC WinCC系統的7個漏洞進行攻擊，特別是針對西門子公司的SIMATIC WinCC監控與數據採集 (SCADA) 系統進行攻擊。根據安全軟體公司趨勢科技的報告，修補此類漏洞平均時間都在150天以上。

3.找出緩解漏洞的方法

必須要承認，公司在修補漏洞的過程中，行動會比較遲緩。比如，Equifax 就忽視了大量關於隱私數據威脅的警告。Equifax曾收到了美國國家安全部發來的關於黑客用來入侵該公司系統的漏洞的告警消息。在這次大規模數據泄露前，Equifax還遭遇過多次小型的數據泄露，許多外部的專家發現並報告給Equifax的安全部門。但是該公司並沒有有效處理這些警告信息。

再比如，今年一月份曝光的Intel處理器（CPU）的安全漏洞Meltdown和Spectre，讓全球幾乎所有的電腦和設備都受到影響，面臨易受攻擊的安全風險。而且與以往硬體缺陷容易被修復不同的是，這兩個缺陷的根源是來自現代處理器的架構設計。

目前要封堵「Meltdown」存在隱患，主要通過打補丁來關閉操作系統的共享內核映射，這是個自上個世紀九十年代初，便用於來提高系統運行效率的操作系統功能，在關閉該功能後會徹底禁止個人程序讀取內核內存，從而阻止「Meltdown」漏洞攻擊。但這種修復方法也帶來很大的問題，一些對個人程序很依賴的任務會因此變慢，比如執行磁碟和網路操作，所以昨天便有報道Intel在修復了該硬體漏洞後，其處理器可能會出現14%的性能損失。這種因為程序的安全問題，而導致的運營速度的下降，是公司所不能接受的。

4.管理相關的第三方組件

開發人員通常不會嚴格管理那些軟體正在使用的組件，據應用安全公司Snyk發布的《開放源代碼安全報告》顯示，只有11％的開源維護人員至少每季度檢查他們的代碼是否存在缺陷，其中43％的維護人員從不審核他們軟體所使用的代碼。

總體而言，目前所發現的四分之三的漏洞是維護人員認真檢測就能檢測到的，因此定期檢測非常重要。

Snyk在對433000個網站進行分析時發現，77％的網站的前端JavaScript庫中至少有一個漏洞。

CISO和Snyk聯合創始人Danny Grander 表示：

一家健康的開發公司和一家不健康的開發公司之間的區別就在於確保是否能定期檢查所開發軟體中的已知安全漏洞，如果開發的軟體用到了10個代碼庫，而每個代碼庫有都與對應的其他庫，那麼很難知道哪些漏洞會影響所開發的軟體了。

5.保護那些明顯存在漏洞且又離不開的傳統應用程序

雖然某些軟體很有可能存在極其嚴重的漏洞，但該軟體可能是許多公司長期依賴的工作工具。在過去的十年中，Internet Explorer 6為許多公司提出了這個難題，儘管它存在嚴重且頻繁的漏洞，但許多公司還得依靠它運行基本業務應用程序。

再比如 Adobe Flash，雖然它長期以來具有重大且易於利用的漏洞。但由於它應用廣泛，波及面廣，能夠播放簡短快速的多媒體動畫、互動式動畫以及飛行標誌等各類圖像文件，廣泛應用於操作系統中的IE瀏覽器和一些移動設備上。所以，公司不得不將就著使用。

唯一的解決方案是找到創建「虛擬補丁」的方法，在不修補的情況下緩解所存在的漏洞。虛擬補丁技術是對已有系統通過外圍的方式，針對漏洞攻擊的特徵進行攻擊行為發現和攔截的安全防禦手段。它使針對漏洞防禦的實施更為輕量，更為及時。當然這並不是一種徹底的方式，更徹底的方式依然是系統自身的修復；但它不失為一種簡易的解決方法，為徹底修復贏得了時間；也使在某些特殊情況下無法進行的修復，有了輕便的解決方案。即使不徹底但簡單而有效。這就如同是有了炎症，要吃退燒和消炎藥，但體質的增強還需要長久的鍛煉、起居、飲食和精神的調整。

總結

公司需要以更積極的態度，來確定其所使用和開發的處於實時監控狀態。另外，雖然有些攻擊防不勝防，但一旦被曝光，公司就要就快來修復，以免造成更大的損失，例如，WannaCry攻擊所利用的漏洞最初是在去年3月份曝光的，但當WannaCry開始針對這些漏洞發起攻擊時，其中的很大一部分漏洞已經被各個公司給修復了，避免了大規模更嚴重的事件發生。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！