近日，Trustworthy Computing發(fā)布了新的報(bào)告，調(diào)查了微軟緩解安全漏洞的措施在安全問(wèn)題上的影響。這份報(bào)告基在過(guò)去七年間微軟通過(guò)安全升級(jí)處理過(guò)的被黑客利用的漏洞的研究。這一研究專注于評(píng)估各種被黑客利用的漏洞的類型，被攻擊的產(chǎn)品的版本和被黑客使用的漏洞利用手段在過(guò)去的趨勢(shì)。

這份報(bào)告中有幾個(gè)關(guān)鍵，被稱作軟件漏洞的利用方法，包括：

每年已知可以利用的遠(yuǎn)程代碼執(zhí)行漏洞(RCE)數(shù)量正在下降。

漏洞最經(jīng)常在安全補(bǔ)丁發(fā)布之后才被利用。盡管這些年在安全補(bǔ)丁發(fā)布之前就被利用起來(lái)的漏洞的百分比有所增加。​

圖1：在補(bǔ)丁發(fā)布之前和之后被利用的CVE漏洞所占的百分比

堆棧溢出漏洞曾經(jīng)是最常見(jiàn)的漏洞利用類別。但是現(xiàn)在已經(jīng)很少了。堆棧溢出漏洞的使用率從2006年的43%下降到了2012年的7%。

圖2：已知可以被利用的CVE漏洞的類別分布

釋放后使用(Use-After-Free)漏洞現(xiàn)在是最常見(jiàn)的漏洞利用類別。

漏洞利用越來(lái)越依賴于能繞開(kāi)數(shù)據(jù)執(zhí)行保護(hù)(DEP)和地址空間布局隨機(jī)化(ASLR)的技術(shù)。

圖3：通過(guò)各種不同的技術(shù)利用的CVE漏洞的數(shù)量

這個(gè)研究中還有大量數(shù)據(jù)，可以幫我們理解使漏洞利用變得更加困難的因素。這份基于該研究的報(bào)告為我們提供了如何減少被入侵的可能性和管理風(fēng)險(xiǎn)的具體建議。

我們建議機(jī)構(gòu)中負(fù)責(zé)管理風(fēng)險(xiǎn)的人士閱讀這篇論文。

你可能會(huì)好奇我們?yōu)槭裁催M(jìn)行這樣一個(gè)研究。我認(rèn)識(shí)的許多客戶都對(duì)使用軟件漏洞的數(shù)量來(lái)評(píng)估他們的軟件供應(yīng)商在開(kāi)發(fā)嚴(yán)重漏洞更少的軟件上的進(jìn)步的方法感興趣。我們?cè)谖④洶踩閳?bào)報(bào)告(SIR)中發(fā)布各種漏洞數(shù)量統(tǒng)計(jì)，但是這樣的數(shù)據(jù)似乎意味著各種漏洞帶來(lái)的風(fēng)險(xiǎn)是相同的。當(dāng)我們仔細(xì)研究那些真的被攻擊者利用的類別和它們是如何被利用的時(shí)候。我們能更直觀的看到正在發(fā)生的趨勢(shì)，和如何高效的管理相關(guān)風(fēng)險(xiǎn)。

這次研究是由微軟安全工程中心(MSEC)和微軟安全響應(yīng)中心(MSRC)進(jìn)行的。MSEC有著業(yè)內(nèi)最先進(jìn)的安全科學(xué)團(tuán)隊(duì)。安全科學(xué)團(tuán)隊(duì)能夠在以下三個(gè)方面幫助到客戶：

幫助發(fā)現(xiàn)軟件漏洞

開(kāi)發(fā)程序員應(yīng)該接受的漏洞緩解技術(shù)和工具。安全科學(xué)團(tuán)隊(duì)的研究成果通常會(huì)提供微軟安全開(kāi)發(fā)流程(SDL)，一種每個(gè)微軟產(chǎn)品開(kāi)發(fā)中都需要強(qiáng)制執(zhí)行的過(guò)程。目標(biāo)是使每個(gè)操作系統(tǒng)、瀏覽器和應(yīng)用程序的新版本都比之前的版本更難攻擊，讓攻擊者的惡意攻擊都更加困難和需要更高成本。

在威脅環(huán)境中持續(xù)監(jiān)測(cè)威脅趨勢(shì)和活動(dòng)，并且將學(xué)到的新技術(shù)用來(lái)改進(jìn)微軟的工具和流程。當(dāng)測(cè)定到新威脅進(jìn)入到生態(tài)系統(tǒng)中時(shí)，MSRC和微軟響應(yīng)流程會(huì)馬上運(yùn)作起來(lái)。

本文來(lái)自微軟可信計(jì)算的主管Tim Rains的文章《The Impact of Security Science in Protecting Customers》。