零日漏洞一直让安全从业者头疼。阴魂不散的零日问题的根源之一,是开源代码的不断扩散。这也是很多人想要知道零日漏洞当前趋势,以及缓解开源代码风险最佳实践的原因所在。
网络安全风投公司最近发布了一份新的《零日漏洞报告》,为CISO和IT安全团队提供零日漏洞趋势、统计数据、最佳实践和资源。
该报告凸显了一些预警性统计数据,包括:
应用攻击界面每年增加1110亿行软件代码
任务关键App中的开源代码将占99%
麦克·卡顿,Digital Defense 研发副总裁,称:“从安全角度看,开源代码的大量使用是有问题的。越来越多的公司不断投入开源代码怀抱,作为削减营销周期,尽快将产品推向市场的一种手段。”
由于一块代码可作为软件组件应用到多种设备中,这种组件中发现的零日漏洞复现率就可能倍增。你通常会在各种各样的设备和平台上发现一连串的漏洞。
推向市场的压力,催生了在企业产品中集成进更多库的新趋势,但这每一个库,都代表着潜在的漏洞风险。
卡顿称:“在以前,原生代码开发所占比重还要更大些。但使用开源代码的好处,在于代码质量更高;坏处,则显现于有人找到漏洞之时。如今,16个产品都出现了漏洞。”
开源组件和企业产品中常会发生的事情是,开发人员将库集成进产品,却没有对它进行加固。但凡集成时有个坚实的配置,情况都会好很多。
那么,企业到底需要做点什么来解决这些漏洞呢?”每一行代码都是一个攻击系统。某个库能干25件事,但我们只需要其中2件。那就要确保只有用到的那些确实暴露给执行代码。”
造成零日漏洞增多的另一个问题,是公司在同一个产品中使用2或3个解决方案。“他们可能会使用2到3个数据库或SML解析器,但仅使用能搞定所有需求的一个平台或一个组件,才是更好的选择。”
强防护,来自于选择正确的工具。“SQL轻量级组件,更少代码,更少功能,但有的都是与你任务相关的那些。”
虚拟化趋势,也降低了攻击者进入系统查看某些此类产品后台的门槛。“你可以下载一个虚拟机。企业应用空间里触手可及的目标很多。”
这个问题真心在厂商自身身上。“他们得注意到攻击者真的能这么做,确保他们自己先来一遍严格的安全评估。”
(责任编辑:安博涛)