3月12日讯 美国著名智库机构兰德公司(RAND,以军事为主的综合性战略研究机构)当地时间上周四发布的研究报告称,近期对超过200个“零日漏洞”进行了研究和统计分析,囤积最新发现的“零日漏洞”并没有普遍认为的那么危险,因为其它人发现这些漏洞的几率很小。这项结果颠覆了人们对漏洞披露和囤积软件漏洞的传统认知。
美国智库兰德公司“0day漏洞”研究证明“囤货”没有那么可怕 - E安全
这项研究是首个公开发布的此类研究,其目的旨在检验仍未公开披露的数据集,包括零日漏洞。该报告研究人员Ablon表示,他们通过商业研究人脉访问了这2002年至2016年的漏洞,包含超过200个零日漏洞和利用工具,到目前为止,其中近一半的数据集仍不为公众所知。
研究员莉莲·阿布隆(Lillian Ablon)和蒂莫西·鲍嘉(Timothy Bogart)在报告中总结出,如果发现零日漏洞的人守口如瓶,这些漏洞往往可以存活数年。一个秘而不露的零日漏洞被他人独立发现或披露的可能性仅为5.7%(每年)。
Ablon并未过多谈及数据集的收集者,但表示他们分析的数据集与政府持有的非常相似,通过数据发现,存储或保留这些漏洞是一个相对可行的策略,没有普遍认为的那样危险,而关于是否存储、是否披露这类决定则相当复杂。。
鉴于到目前为止,有关这些问题的讨论都依赖专家观点或已知漏洞的数据,不具备较好的参考性。兰德公司的这项研究并不意在给出任何明确的答案,而是想借助对数据集的独特访问权,“创建底线标准”供进一步研究。
这项研究结果的发布正值美国政府决定是否披露此类漏洞之时。因为维基解密本周二爆出CIA的大量黑客工具,美国就是否应该秘密囤积这类网络武器展开新一轮讨论。
白宫前网络安全协调员迈克尔·丹尼尔表示:
美国2014年推出的“漏洞公平裁决程序”(U.S. Vulnerabilities Equities Process)对漏洞披露存在偏见。“初次建立“漏洞公平裁决程序”时,我们可以发现的漏洞也可能被其它人发现”。
原因是,其它人将可能更早发现零日漏洞。由于发现零日漏洞会带来潜在损害,如被网络犯罪组织利用,后果会相当严重。因此,整个互联网生态系统快速修复零日漏洞带来的好处远远超出秘密将其保留,并用来实施网络间谍或其它黑客行动,对政府而言亦是如此。 兰德公司的这项研究结果显示零日漏洞被发现一年后被他人发现的几率大约为5.7%。他们即使使用最长的时间间隔来计算(数据集介于2002年至2016年),这种巧合率仍然只有40%。90天之后,白帽子研究人员给厂商提出的披露期限,巧合率只有0.87%。
鉴于此,零日漏洞的平均预期寿命--被发现、公开和被修复之前存活的时间—为6年零9个月。
Ablon声称,“我们只是比较了使用数据集和公开披露的零日漏洞之间的重叠情况。”
研究人员只能预估零日漏洞的公开发现概率,原始数据不包括某些国家或人想利用0day漏洞而故意将其隐匿的情况。
附兰德研究报告主要结论
“活动”与“死亡”的二元划分太过简单粗暴
所谓活动安全漏洞(即尚未被公开的漏洞)是指那些安全保护方一直在积极寻找的安全漏洞——即“活动中”安全漏洞,或者永久存在于产品中的安全漏洞。后者因供应商不再对代码进行维护或者发布漏洞更新而存在,亦被称为“永久性”漏洞。
而所谓死亡安全漏洞(即已公开发布之漏洞),大多已经为安全意见或者修复补丁所发现并解决。但在某些情况下亦存在开发人员或漏洞研究人员已然提供对应漏洞信息,但尚未发布安全公告的情况。
亦有部分安全漏洞处于“准活动”状态(即‘僵尸’状态),其主要存在于尽管最新产品版本已经得到代码修复,但在旧版本中仍可被利用的情况之下。长久存在并为第三方发现
零日漏洞在被利用与被发现之间的平均生命周期极长(达6.9年)。只有25%的安全漏洞能够在1.51年之内得到发现,但亦有25%的安全漏洞可持续存在达9.5年以上。
安全漏洞自身的特性与其存在生命周期无关; 不过不过的分析机制可能希望针对Linux及其它不同平台类型进行检查,研究开源与闭源代码间的相似性并以此为基础探索漏洞类型。
对于特定零日漏洞库存,经过一年时间后约有5.7%的漏洞条目被第三方实体发现并公开披露。利用零日安全漏洞的时间与成本
一旦发现某一安全漏洞,则对其加以利用的时间周期相当之短,中位数时长为22天。
一项安全漏洞的利用成本往往涉及多种因素,其中包括发现可行性漏洞的时间、制定利用手段的时间、测试与分析的时间与成本、将一项漏洞与其它当前漏洞相结合带来的时间投入、相关研究人员的人工成本以及在发布代码修订后重新探索漏洞利用途径的成本。
本文转自d1net(转载)