美国智库兰德公司“0day漏洞”研究证明“囤货”没有那么可怕

3月12日讯 美国著名智库机构兰德公司(RAND,以军事为主的综合性战略研究机构)当地时间上周四发布的研究报告称,近期对超过200个“零日漏洞”进行了研究和统计分析,囤积最新发现的“零日漏洞”并没有普遍认为的那么危险,因为其它人发现这些漏洞的几率很小。这项结果颠覆了人们对漏洞披露和囤积软件漏洞的传统认知。

美国智库兰德公司“0day漏洞”研究证明“囤货”没有那么可怕 - E安全

这项研究是首个公开发布的此类研究,其目的旨在检验仍未公开披露的数据集,包括零日漏洞。该报告研究人员Ablon表示,他们通过商业研究人脉访问了这2002年至2016年的漏洞,包含超过200个零日漏洞和利用工具,到目前为止,其中近一半的数据集仍不为公众所知。

研究员莉莲·阿布隆(Lillian Ablon)和蒂莫西·鲍嘉(Timothy Bogart)在报告中总结出,如果发现零日漏洞的人守口如瓶,这些漏洞往往可以存活数年。一个秘而不露的零日漏洞被他人独立发现或披露的可能性仅为5.7%(每年)。

Ablon并未过多谈及数据集的收集者,但表示他们分析的数据集与政府持有的非常相似,通过数据发现,存储或保留这些漏洞是一个相对可行的策略,没有普遍认为的那样危险,而关于是否存储、是否披露这类决定则相当复杂。。

鉴于到目前为止,有关这些问题的讨论都依赖专家观点或已知漏洞的数据,不具备较好的参考性。兰德公司的这项研究并不意在给出任何明确的答案,而是想借助对数据集的独特访问权,“创建底线标准”供进一步研究。

这项研究结果的发布正值美国政府决定是否披露此类漏洞之时。因为维基解密本周二爆出CIA的大量黑客工具,美国就是否应该秘密囤积这类网络武器展开新一轮讨论。

白宫前网络安全协调员迈克尔·丹尼尔表示:

美国2014年推出的“漏洞公平裁决程序”(U.S. Vulnerabilities Equities Process)对漏洞披露存在偏见。“初次建立“漏洞公平裁决程序”时,我们可以发现的漏洞也可能被其它人发现”。

原因是,其它人将可能更早发现零日漏洞。由于发现零日漏洞会带来潜在损害,如被网络犯罪组织利用,后果会相当严重。因此,整个互联网生态系统快速修复零日漏洞带来的好处远远超出秘密将其保留,并用来实施网络间谍或其它黑客行动,对政府而言亦是如此。 兰德公司的这项研究结果显示零日漏洞被发现一年后被他人发现的几率大约为5.7%。他们即使使用最长的时间间隔来计算(数据集介于2002年至2016年),这种巧合率仍然只有40%。90天之后,白帽子研究人员给厂商提出的披露期限,巧合率只有0.87%。

鉴于此,零日漏洞的平均预期寿命--被发现、公开和被修复之前存活的时间—为6年零9个月。

Ablon声称,“我们只是比较了使用数据集和公开披露的零日漏洞之间的重叠情况。”

研究人员只能预估零日漏洞的公开发现概率,原始数据不包括某些国家或人想利用0day漏洞而故意将其隐匿的情况。

附兰德研究报告主要结论

“活动”与“死亡”的二元划分太过简单粗暴

所谓活动安全漏洞(即尚未被公开的漏洞)是指那些安全保护方一直在积极寻找的安全漏洞——即“活动中”安全漏洞,或者永久存在于产品中的安全漏洞。后者因供应商不再对代码进行维护或者发布漏洞更新而存在,亦被称为“永久性”漏洞。

而所谓死亡安全漏洞(即已公开发布之漏洞),大多已经为安全意见或者修复补丁所发现并解决。但在某些情况下亦存在开发人员或漏洞研究人员已然提供对应漏洞信息,但尚未发布安全公告的情况。

亦有部分安全漏洞处于“准活动”状态(即‘僵尸’状态),其主要存在于尽管最新产品版本已经得到代码修复,但在旧版本中仍可被利用的情况之下。长久存在并为第三方发现

零日漏洞在被利用与被发现之间的平均生命周期极长(达6.9年)。只有25%的安全漏洞能够在1.51年之内得到发现,但亦有25%的安全漏洞可持续存在达9.5年以上。

安全漏洞自身的特性与其存在生命周期无关; 不过不过的分析机制可能希望针对Linux及其它不同平台类型进行检查,研究开源与闭源代码间的相似性并以此为基础探索漏洞类型。

对于特定零日漏洞库存,经过一年时间后约有5.7%的漏洞条目被第三方实体发现并公开披露。利用零日安全漏洞的时间与成本

一旦发现某一安全漏洞,则对其加以利用的时间周期相当之短,中位数时长为22天。

一项安全漏洞的利用成本往往涉及多种因素,其中包括发现可行性漏洞的时间、制定利用手段的时间、测试与分析的时间与成本、将一项漏洞与其它当前漏洞相结合带来的时间投入、相关研究人员的人工成本以及在发布代码修订后重新探索漏洞利用途径的成本。

本文转自d1net(转载)

时间: 2024-10-24 20:17:57

美国智库兰德公司“0day漏洞”研究证明“囤货”没有那么可怕的相关文章

WikiLeaks 接触科技公司协商披露 CIA 机密如 0day 漏洞

WikiLeaks 本月早些时候披露了第一批 CIA 黑客工具,它手中还有更多 CIA 机密文件没有公开,其中可能包括各种产品的 0day 漏洞和其它监视技术. WikiLeaks 上周开始接触各大科技公司如微软.苹果和 Google,协商向对方披露 CIA 机密文件的事宜,但要求这些科技公司满足一定条件.WikiLeaks 的要求目前还不清楚,主要科技公司仍然在评估接受条件的法律后果. WikiLeaks 创始人 Julian Assange 通过其 Twitter 账号上宣布,Mozilla

兰德公司:零日漏洞平均生存期为6.9年

兰德公司一份新研究报告称,零日漏洞--开发人员没打补丁或没发现的漏洞,平均生存期为6.9年. 该研究分析了200多个此类漏洞,并调查了这些漏洞被不同组织发现的频率.独立发现的罕见性,以及缺陷存在的长期性,意味着某些兼具攻防两方面职责的组织(情报机构),可以囤积漏洞. 超长时间线加上低碰撞率--两人发现同一漏洞的概率(大约每年5.7%),意味着曝光漏洞可提供的保护程度相当有限,而保持沉默,或者说"囤积漏洞"却是这些实体的合理选择--既可防御自身系统,又可利用别人系统中的漏洞. 该报告主笔

IE再曝0day漏洞 中国暂未出现攻击

国外安全公司FireEye曝光IE存在0day漏洞 近日,国外安全公司FireEye宣布发现新型IE 0day漏洞攻击,该漏洞影响Windows XP和Windows 7系统上的英文版本IE浏览器.不过FireEye认为,其他语言版本的IE很可能也会被攻陷.根据360安全卫士官方微博发布,目前国内尚未出现此漏洞攻击,不过Windows XP和Win7用户也需要高度警惕,近期不可随意点击可疑链接,360安全卫士也将针对漏洞攻击情况推出防护措施. 据分析,最新IE 0day漏洞主要攻击Windows

一个Tor浏览器0day漏洞价值100万美元,其中的隐情是……

本文讲的是一个Tor浏览器0day漏洞价值100万美元,其中的隐情是--, 据外媒报道称,Zerodium(一家专门购买和转售零日漏洞的公司)近日刚刚宣布,它愿意为Tails Linux和Windows操作系统上流行的Tor浏览器可用零日漏洞支付高达100万美元的赏金. Tor浏览器用户应该将该消息作为一个早期预警,尤其是那些使用Tails操作系统来保护其隐私的用户.此外,该零日漏洞收购平台也在其网站上发布了一些规则和支付细节,宣布其对"未使用JavaScript"的Tor漏洞的收购价

【阿里聚安全·移动安全周刊】三星开发人员之锅?自家Tizen系统被爆存在40多个0day漏洞

[阿里聚安全·移动安全周刊]三星开发人员之锅?自家Tizen系统被爆存在40多个0day漏洞 三星自家Tizen系统被曝存在40多个0 day漏洞 izen是三星自家的操作系统,目前上百万的三星产品都安装了这种操作系统,但一名安全研究人员近期在Tizen系统中发现了40个此前未被发现的0 day漏洞. 就在上个月,维基解密泄漏的CIA内部文档曝光了这一间谍机构目前正在通过三星智能电视监控用户的事实,而Vault 7也将美国中央情报局推倒了舆论的风口浪尖. 但现在的情况就更加严重了,因为一名以色列

美国限制未公开软件漏洞出口 将其视为潜在武器

美国商务部周三提交了新的出口限制禁令,将未公开的软件漏洞视为潜在武器.此举旨在减少安全行业为敌对国家提供的可能帮助.但是很多安全研究人员表示,美国商务部的出口限制禁令可能无法遏制黑市,同时阻碍跨境合作和国防产品销售. 商务部的禁令中覆盖所谓的"零日漏洞"(zero-day)以及软件开发商也不了解的安全漏洞."零日漏洞"又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞. 黑客与国防承包商经常向政府机构或软件开发商出售有关此类漏洞的信息,美国内部销售则可以继续.但是

看我如何发现Uber合作方网站XXE 0day漏洞并获得9000美元赏金

近期,俄罗斯渗透测试人员Vladimir Ivanov发现了反勒索数据备份服务商Code42的一个XXE 0day漏洞,利用该漏洞可以从使用Code42服务的公司窃取相关备份数据,这些公司包括Uber.Adobe.Lockheed Martin(洛克希德马丁)等.作者在这篇文章中分享了该漏洞的发现过程. Code 42,成立于2007年,最初以个人数据保护和备份软件起家,随后便逐渐拓展到了企业数据备份和反勒索服务领域.目前该公司在全球管理并保护着大量企业和组织机构数据,而且该公司所有的数据备份和

IE再曝0day漏洞 360国内率先防护

中介交易 SEO诊断 淘宝客 云主机 技术大厅 摘要:近日,国外安全机构发现Windows XP和Win7系统上的英文版IE浏览器存在0day漏洞,并已被黑客攻击,其他语言版本包括中文版IE也受漏洞影响.作为微软MAPP合作伙伴,360安全卫士已第一时间推出临时补丁,能够在微软官方补丁发布前保护用户防范此漏洞攻击. 近日,国外安全机构发现Windows XP和Win7系统上的英文版IE浏览器存在0day漏洞,并已被黑客攻击,其他语言版本包括中文版IE也受漏洞影响.作为微软MAPP(主动防护计划)

IE10 0day 漏洞被利用获取军事情报

安全公司FireEye的研究人员发现了一个新的IE10 0day漏洞 (CVE-2014-0322) ,被攻击者利用发动偷渡下载攻击(Watering Hole),目标是窃取军事情报.FireEye将此次攻击称Operation SnowMan, 认为攻击者与中国黑客组织Operation DeputyDog有关联.攻击者入侵了一家美国的退伍军人网站(U.S. Veterans of Foreign Wars,VFW.org),在网站的HTML代码中加入了一个后台载入攻击者网页的内联框架(ifr