2016年互聯網網絡安全漏洞報告
近年來,針對漏洞的攻擊越來越多,利用漏洞的病毒、木馬技術進行網絡盜竊和詐騙的網絡犯罪活動呈快速上升趨勢。產生了大范圍的危害,由此給企業造成了重大經濟損失。漏洞的問題成為危害整個信息安全業界的重要因素之一。柯力士信息安全的漏洞信息小組總結了2016年的漏洞信息狀況,并作出了“2016信息安全漏洞年報”供大家參考,本漏洞年報大部分數據基于整合世界三大漏洞庫的安犬漏洞管理云平臺漏洞庫。
一.2016安全漏洞概況
2016年共發布整理8805條漏洞信息(數據截止至2016.12/31)其中緊急級別漏洞數量為469個 嚴重級別漏洞為2384個 高危級別漏洞5804個 中危漏洞139個 低危漏洞9個.
漏洞等級的劃分按照國際漏洞評分標準,以漏洞容易被利用的程度和影響劇烈度進行打分,簡單的危害程度排序為:緊急>嚴重>高危>中危>低危。
而從年份來看,2014年漏洞庫共收錄7356個漏洞,其中緊急漏洞數量為313個
2015年共收錄7535個漏洞,其中緊急漏洞數量為516個,而2016年為8805個漏洞469個漏洞。
從數據上看,無論是漏洞數量還是緊急漏洞數量都呈逐年上升趨勢,而zero days漏洞也逐漸增多。
漏洞數量呈上升趨勢,究竟是好還是壞?
隨著信息安全的發展,新的系統,新的構架,新的語言不斷的刷新信息社會的發展水平,隨之而來的則是新的信息安全漏洞。新的信息安全漏洞,不論是沒有范例的zero days漏洞還是危害級別較強的緊急漏洞,(前段時間的美國DYN大型DDOS安全事件的起因僅僅是一個設備上的嚴重漏洞,因該設備使用商影響巨大而被劃分為緊急漏洞)從被漏洞庫收錄記載下的那一刻,就已經在人類的控制之中。我們相信,越來越多的漏洞被發現,是我們的信息安全技術不斷發展的結果,也是我們信息安全意識得到提升的具體體現。
二.系統漏洞
2016年共有4496個漏洞屬于系統方面的漏洞,按照不同的系統類別統計成下面的表格:
其中,Linux的漏洞有1257個,windows的漏洞有1160個;而移動端方面安卓平臺的系統漏洞有752個,與之相比宣稱很安全的IOS也曝出466個漏洞,占所有系統漏洞的10%。系統級的漏洞占據總漏洞的49%,而Linux與windows的漏洞占據系統漏洞的大半江山。
傳統系統平臺漏洞依舊是主流,移動平臺逐現鋒芒
半數的系統漏洞都是來自傳統的系統平臺Linux和windows,這可能算是傳統系統更新的結果,這些漏洞也算是漏洞庫里面的常客了,而來自移動平臺的漏洞數量比例在不斷變大,這一方面說明移動端的系統成為當前世界非常關注,發展迅速的重要組成部分。
而另一方面則表明,黑客或許也盯上了移動系統平臺,在過去的一年里,移動系統平臺,特別是IOS平臺的重大漏洞引起的信息安全事件層出不窮。這警醒著信息安全的從業人員們,一定要重視信息安全漏洞。
三.漏洞類型與影響
按照漏洞類型來進行分類,造成信息泄露和緩沖區溢出以及權限問題的漏洞占了較大比例,而這些影響可能引起更多的信息安全危害。對比2015年,這三類漏洞的占比逐年升高。
你的信息很有價值!
信息泄露漏洞的目的直接明了,告訴你就是要信息。緩沖區溢出之后,就是獲取權限,也是獲取信息。權限問題引起的更加不用講,服務器被控制之后當然信息也泄露了。對于攻擊漏洞的攻擊者而言,能獲取到的信息才是有價值的信息,這與這些類別漏洞的多發有一定的聯系。從安全行業的角度分析,這些漏洞必須隔離于重要信息系統之外,杜絕攻擊者獲取有價值信息的可能才是重要的安全舉措。
總結
不管是對比前幾年,還是漏洞庫內部的對比,2016年的漏洞呈現出越來越嚴峻的形勢,越來越多的漏洞出現在網絡系統之間,而移動平臺的系統逐漸成為多發漏洞的地方,并且透過漏洞,攻擊者瞄準著個人信息。對于漏洞整體的攻擊體系正在不斷成型,展望2017年,這種大趨勢可能還將繼續下去,信息安全行業人員,運維人員勢必迎來更多的挑戰。我們相信,只要正確的認識漏洞,了解攻擊者利用漏洞的方式,及時應對,漏洞并不足為懼。
本文使用大部分數據來源于安犬漏洞管理云平臺漏洞庫,部分參考數據來源于中國國家信息安全漏洞庫。
柯力士旗下的安犬漏洞管理云平臺不僅提供最新信息安全漏洞的收集,也從多方面發布最新信息安全業界動態!目前注冊即送每日5次免費掃描資格,長按二維碼或點擊閱讀原文即可直達安犬平臺。
【本文為51CTO專欄“柯力士信息安全”原創稿件,轉載請聯系原作者(微信號:JW-assoc)】
