近日，綠盟科技釋出《漏洞發展趨勢報告》，以NVD為資料來源，對1999-2019年的漏洞資料進行回顧分析，結合綠盟威脅情報中心監測到的漏洞利用攻擊事件，從通用系統、軟體的漏洞呈現情況，總結了20年來漏洞研究及利用的趨勢，並對近幾年新興的移動、物聯網裝置等領域的漏洞發展進行回顧和展望。

三張圖，解讀漏洞發展趨勢

歷年漏洞數量統計

截至2019年底，NVD資料庫共收錄漏洞資訊138909條。2019年的漏洞數量同比1999年，增長了9.62倍。

漏洞的 CVSS V2.0 分佈

截止 2019 年底共有 130937 條漏洞分配了 CVSS V2.0 等級，中危漏洞佔 56.06%，高危漏洞佔據 35.22%。 

TOP20 CWE 漏洞型別

跨站指令碼 (CWE-79) 型別的漏洞數量以 12911 條佔據第一。

攻擊者眼中，十年以上“高齡”漏洞依舊“好使”

攻擊事件使用到的漏洞按年分佈

攻擊者關注穩定、高效的漏洞利用技術，在漏洞的選擇上追求易用性、時效性以及是否能獲取目標控制許可權的攻擊能力。可以看到，即使是在 2019 年，十年以上的高齡漏洞仍然佔據了相當大的比例，說明網際網路上依然存在著大量長期未更新的軟體和系統。

警惕！利用檔案格式漏洞的魚叉式釣魚攻擊

文件型別漏洞分佈

通過對APT攻擊的研究發現，利用檔案格式漏洞的魚叉式釣魚攻擊已成為網路安全的主要威脅之一。PDF、doc(x)、xls(x)、ppt(x) 等檔案格式具有跨平臺、應用範圍廣、使用者基數大的特點，受到了攻擊者的持續關注，目標主機上的相應程式一旦存在安全漏洞就會被輕易攻破。

開源軟體面臨漏洞利用和軟體供應鏈的雙重攻擊

常見開源軟體的漏洞數量

開源軟體具有開放、免費、功能靈活等特點，得到了越來越廣泛的應用，但是安全問題仍然普遍存在。公開的利用程式碼在短時間內被整合到成熟的攻擊框架或木馬程式中，進一步降低了漏洞利用的門檻，而從漏洞公佈到被攻擊者大規模利用的時間視窗也在進一步縮短，給安全廠商防護能力帶來了更大的挑戰。

針對軟體供應鏈的攻擊，成為面向軟體開發人員和供應商的一種新興威脅。針對軟體供應鏈的攻擊在傳播速度上更快、影響範圍更廣、危害更大，同時也更隱蔽。軟體開發商應該制定軟體供應鏈標準、規範，遵循安全的開發流程，定期組織軟體供應鏈攻防演練競賽，定期對自身網站、軟體等進行檢測與加固，以減少受到此類攻擊的風險。

物聯網安全的價值不應只在受到威脅時才被重視

據市場研究公司 Gartner 稱， 2016 年全球物聯網裝置數量為 64 億，2020 年將達到 204 億 ，增長 218.75%，但是目前物聯網建設過程中考慮到資訊保安的產品極少，絕大部分是“裸奔”狀態。

2019年 TOP10 物聯網漏洞利用數量

面對物聯網的威脅，裝置製造商應當重視裝置的安全，指定安全的開發流程，對裝置進行全面的安全測試。對於預設密碼的問題，應當在使用者第一次使用的時候，強制讓使用者修改密碼，並檢查使用者密碼的安全性，禁止設定弱密碼。對使用週期較長的裝置，定期提供可更新的韌體，以確保裝置的安全性。

總結：“安全左移”，從源頭上減少漏洞的產生

安全是一個攻與防的過程，未知攻焉知防，只有在瞭解各種攻擊技術和手段後才能採取更加有效的防禦策略，從而避免安全事件的發生。軟體開發人員不僅需要熟練的程式設計技巧，還需要重視“安全左移”，即在開發階段進行安全加固、程式碼審計，將安全屬性融入到軟體的開發過程中，從源頭上減少漏洞的產生。 

安全研究人員需要加強系統漏洞及防護技術等方面的學習，不斷深入研究新的漏洞挖掘和利用技術，挑戰各種漏洞的緩解措施，先攻擊者一步掌握最新的攻擊技術，才能與安全廠商攜手，進一步提高系統和應用的安全防護水平。

下載連結

http://blog.nsfocus.net/wp-content/uploads/2020/05/Vulnerability-Development-Trend.pdf