世界最大漏洞資料庫釋出最新研究報告

　　Qualys的技術長Wolfgang Kandek最近釋出了Laws of Vulnerabilities 2.0，該漏洞法規來自於Qualys這個安全行業最大的漏洞資料基地。

　　報告揭露了五個關鍵行業(包括金融、醫療、零售、製造業和服務業)的漏洞半衰期、普遍性、永續性和利用趨勢。這些趨勢是從對6.8億個漏洞進行分析統計得出的結論，其中0.72億個漏洞為關鍵漏洞。

　　這些漏洞中，大多數漏洞的壽命都是無限的。

　　源自這項研究的結論包括：

　　1. 半衰期– 所有行業中關鍵漏洞的半衰期都維持在30天左右，與個別行業相比，服務行業的漏洞半衰期最短(21天)，金融行業排名第二(23天)，零售業為24天，而製造業最長為51天。

　　2. 普遍性– 對於最普遍和最嚴重的漏洞，其中60%都會在下一年被新漏洞取代，而在2004年的百分比為50%。根據Laws 2.0顯示，最難被取代的漏洞發生在MSFT Office、Windows 2003 SP2、Adobe Acrobat和Sun Java外掛。

　　3. 永續性– Laws 2.0宣稱，大多數漏洞的壽命都是無限的，絕大部分的漏洞完全無法修復，該法規還對比了MS08-001、MS08-007、MS08-015和MS08-021的資料，如上圖所示。

　　4. 利用– 在漏洞公開於眾後的幾天後，80%的漏洞將被攻擊者利用。在2008年，Qulays Labs記錄了56個利用零日攻擊的漏洞，其中包括製造Conficker的RPC漏洞。在2009年，微軟公司釋出的第一個漏洞MS09-001在七天內就被攻擊者成功利用。微軟公司April Patch Tuesday包括對已公開漏洞47%進行的漏洞利用攻擊。

　　Qualys技術長Wolfgang Kandek和Laws of Vulnerabilities 2.0的作者表示：

　　攻擊者的攻擊方式變得越來越複雜，而大多數關鍵漏洞的利用時間越來越短，這使安全問題變得越來越嚴峻。我們這次研究的目標是幫助不同行業的企業來理解更廣泛的漏洞趨勢、潛在危害性和漏洞的優先權，這樣就能採取更有效和更直接的方式來保護網路。有了這些研究的統計分析，我們就能向各行各業提供關於漏洞的實時趨勢分析。