Qualys的首席技术官Wolfgang Kandek最近发布了Laws of Vulnerabilities 2.0,该漏洞法规来自于Qualys这个安全行业最大的漏洞数据基地。
报告揭露了五个关键行业(包括金融、医疗、零售、制造业和服务业)的漏洞半衰期、普遍性、持久性和利用趋势。这些趋势是从对6.8亿个漏洞进行分析统计得出的结论,其中0.72亿个漏洞为关键漏洞。
这些漏洞中,大多数漏洞的寿命都是无限的。
源自这项研究的结论包括:
1. 半衰期- 所有行业中关键漏洞的半衰期都维持在30天左右,与个别行业相比,服务行业的漏洞半衰期最短(21天),金融行业排名第二(23天),零售业为24天,而制造业最长为51天。
2. 普遍性- 对于最普遍和最严重的漏洞,其中60%都会在下一年被新漏洞取代,而在2004年的百分比为50%。根据Laws 2.0显示,最难被取代的漏洞发生在MSFT Office、Windows 2003 SP2、Adobe Acrobat和Sun Java插件。
3. 持久性- Laws 2.0宣称,大多数漏洞的寿命都是无限的,绝大部分的漏洞完全无法修复,该法规还对比了MS08-001、MS08-007、MS08-015和MS08-021的数据,如上图所示。
4. 利用- 在漏洞公开于众后的几天后,80%的漏洞将被攻击者利用。在2008年,Qulays Labs记录了56个利用零日攻击的漏洞,其中包括制造Conficker的RPC漏洞。在2009年,微软公司发布的第一个漏洞MS09-001在七天内就被攻击者成功利用。微软公司April Patch Tuesday包括对已公开漏洞47%进行的漏洞利用攻击。
Qualys首席技术官Wolfgang Kandek和Laws of Vulnerabilities 2.0的作者表示:
攻击者的攻击方式变得越来越复杂,而大多数关键漏洞的利用时间越来越短,这使安全问题变得越来越严峻。我们这次研究的目标是帮助不同行业的企业来理解更广泛的漏洞趋势、潜在危害性和漏洞的优先权,这样就能采取更有效和更直接的方式来保护网络。有了这些研究的统计分析,我们就能向各行各业提供关于漏洞的实时趋势分析。