文章发表于2025-08-12 09:31:39,归属【信息安全】分类,已有57人阅读
长期以来,利用安全漏洞一直是威胁行为者青睐的手段,且这种趋势愈演愈烈 —— 这一事实应当为所有网络防御者敲响警钟。据估计,2023 年因漏洞利用导致数据泄露的案例年增长率高达三倍。而针对安全漏洞的攻击,仍是威胁行为者发起勒索软件攻击的三大主要方式之一。
随着常见漏洞和暴露(CVE)数量持续创下新高,各组织正疲于应对。它们需要一种更连贯、自动化且基于风险的方法,来缓解与漏洞相关的威胁。
漏洞泛滥成灾
软件漏洞的存在不可避免。只要是人类编写计算机代码,人为错误就会存在,进而产生漏洞 —— 而威胁行为者早已深谙利用这些漏洞之道。然而,快速且大规模地利用漏洞,不仅会引发勒索软件攻击和数据盗窃,还可能导致复杂的、与国家相关的间谍活动、破环性攻击等更严重的后果。
遗憾的是,受多种因素影响,每年发布的 CVE 数量居高不下:
1. 新软件开发和持续集成使得系统复杂性增加、更新频繁,这既扩大了攻击者可能的入侵点,有时也会引入新的漏洞。与此同时,企业采用的新工具往往依赖第三方组件、开源库和其他依赖项,这些部分可能包含未被发现的漏洞。
2. 开发速度往往优先于安全性,这意味着软件在开发过程中无法充分检查代码。这使得漏洞(有时来自开发人员使用的开源组件)混入生产代码。
3. 道德研究人员的努力不断加大,部分原因是从美国国防部到 Meta 等各类组织纷纷推出漏洞赏金计划。这些漏洞会被负责任地披露,相关供应商也会发布补丁,但如果客户不安装这些补丁,就会面临被利用的风险。
4. 商业间谍软件供应商游走在法律灰色地带,向其客户(通常是独裁政府)出售恶意软件和漏洞利用工具,供其监视对手。英国国家网络安全中心(NCSC)估计,商业 “网络入侵领域” 每十年规模就会翻一番。
5. 网络犯罪供应链日益专业化,初始访问代理(IAB)专门致力于入侵受害组织 —— 通常就是通过漏洞入侵组织。2023 年的一份报告显示,网络犯罪论坛上的 IAB 数量增加了 45%,2022 年暗网中的 IAB 广告数量较前 12 个月翻了一番。
哪些类型的漏洞备受关注?
漏洞领域的情况既有变化,也有延续。在 MITRE 列出的 2023 年 6 月至 2024 年 6 月期间最常见、最危险的 25 个软件缺陷中,许多 “老面孔” 依然存在。其中包括跨站脚本、SQL 注入、释放后使用、越界读取、代码注入和跨站请求伪造(CSRF)等常见漏洞类别。大多数网络防御者对这些漏洞都很熟悉,因此或许不需要付出太多努力就能解决 —— 要么通过加强系统加固 / 保护,要么通过改进开发安全运营(DevSecOp)实践。
然而,其他趋势或许更令人担忧。美国网络安全与基础设施安全局(CISA)在其 2023 年 “最常被利用的漏洞” 名单中称,这些缺陷中大多数最初都是作为零日漏洞被利用的。这意味着,在被利用时,尚无可用补丁,组织不得不依靠其他机制来确保安全或最大限度地减少影响。此外,那些复杂度低、几乎不需要用户交互的漏洞也常常受到青睐。一个例子是商业间谍软件供应商提供的零点击漏洞来部署其恶意软件。
另一个趋势是利用漏洞来针对基于边界的产品。英国国家网络安全中心(NCSC)已发出警告,此类攻击呈上升趋势,经常涉及针对文件传输应用程序、防火墙、虚拟专用网络(VPN)和移动设备管理(MDM)产品的零日漏洞。该中心表示:
“攻击者已经意识到,大多数暴露在网络边界的产品并非‘设计即安全’,因此相比流行的客户端软件,在这些产品中更容易发现漏洞。此外,这些产品通常没有完善的日志记录,这使其成为网络中的理想攻击点。”
雪上加霜的因素
似乎上述情况还不足以让网络防御者担忧,以下因素让他们的工作更加复杂:
1. 漏洞利用速度极快。谷歌云的研究估计,2023 年漏洞从出现到被利用的平均时间仅为 5 天,而此前这一数字为 32 天。
2. 如今的企业 IT 和运营技术(OT)/ 物联网(IoT)系统极为复杂,涵盖混合云和多云环境,且往往包含各自的遗留技术。
3. 供应商补丁质量低下以及沟通混乱,导致防御者重复工作,而且往往无法有效评估自身的风险暴露程度。
4. 美国国家标准与技术研究院(NIST)的国家漏洞数据库(NVD)存在积压问题,这使得许多组织无法获取有关最新 CVE 的关键最新信息。
根据威瑞森对 CISA“已知被利用漏洞(KEV)” 目录的分析:
1. 30 天时,85% 的漏洞未得到修复;
2. 55 天时,50% 的漏洞未得到修复;
3. 60 天时,47% 的漏洞未得到修复。
补丁部署时机
事实上,每月发布的 CVE 数量过多,涉及的系统也过于广泛,企业 IT 和安全团队根本无法全部修复。因此,重点应放在根据风险偏好和严重程度进行有效优先级排序上。在选择任何漏洞和补丁管理解决方案时,可考虑以下功能:
1. 自动扫描企业环境中的已知 CVE;
2. 基于严重程度对漏洞进行优先级排序;
3. 详细报告,用于识别易受攻击的软件和资产、相关 CVE 及补丁等;
4. 能够根据企业需求选择特定资产进行补丁部署的灵活性;
5. 自动或手动补丁部署选项。
对于零日威胁,可以考虑采用高级威胁检测技术 —— 该技术能自动解包并扫描可能的漏洞利用代码,在基于云的沙箱中执行,以检查其是否是恶意的。机器学习算法可应用于代码,在几分钟内高精度识别新型威胁,自动拦截它们并提供每个样本的状态。
其他策略可能包括网络微分段、零信任网络访问、网络监控(针对异常行为)以及强有力的网络安全意识计划。
随着威胁行为者越来越多地采用人工智能工具,他们扫描易受互联网攻击的资产将变得更加容易。假以时日,他们甚至可能利用生成式人工智能来帮助发现零日漏洞。最佳的防御措施是保持信息畅通,并与可信赖的安全合作伙伴保持定期沟通。