NSA调查称全球没有一款漏洞扫描工具真正有效

15-11-25 来源：[db:作者]

收藏我要投稿

本文为美国专注安全领域的投资咨询机构Cybersecurity Ventures发布2015年Q3季度报告，该报告覆盖了本季度值得关注的网络安全业务包括市场规模、行业预测、支出、新兴业务及公司、投资、并购和IPO等事件。

应用程序安全

低水平的软件开发实践也许是最大的网络威胁。

Forrester Web安全报告(该报告主要面向安全及风险专业人员提供服务商评估)指出，当前许多企业密集地上线应用、构建面向消费者的网站、购买现成的(无加固定制)的商业产品、开发移动应用来吸引用户，却没有伴随任何安全策略，结果是企业很多机密数据都面临外部攻击威胁和泄露风险。

知名科技产业风险机构BVP发布的一份白皮书提醒以软件/应用开发为早期关键环节的初创企业，安全开发中最重要的功能最好用资深开发者来完成并定期进行安全培训，次要的基本功能也需要进行代码分析以自动发现漏洞。

美国系统安全协会(SANS)2015年关于应用安全的报告表明，很多信息安全工程师不了解软件开发，而大多数软件工程师也不了解安全，开发者只专注按照市场期望的时间发布功能，而不关心所开发的软件是否安全。数据表明，仅有大约20%左右的安全测试由软件开发或测试工程师完成，80%以上为内部安全小组完成。

Applied Visions CEO表示：

“安全行业大多产品服务只检测扫描那些暴露的已知漏洞，但对于由低水平软件开发导致的漏洞过于忽略，其实这些漏洞黑客很容易发现。应用安全应该成为系统开发早期的必要一环，而不是在应用结束时才耗时耗力的发现和寻找。”

Applied Visions是一家提供网络安全解决方案及统一控制命令系统的创新企业。

SAP品牌总监近日在Fobres博客中写道，很多企业在网络层安全投入巨大，但其实84%网络攻击发生在应用层。

美国国土安全厅发布声明称，90%的安全事故源于黑客利用了软件漏洞。

CNET最近报道称程序员很可能将安全漏洞拷贝到其他软件，因为他们并不完全完成全部代码，而是更多采用设计好的模块，但往往不会从对代码进行安全审计，这就为黑客留下了通用的后门。

麦肯基咨询合伙人James Kaplan在《华尔街日报》的一篇名为《不止网络安全：保护你的数据资产》中提到，软件开发需要一个更好的模式——应该指导开发者如何编写安全代码，从项目的第一天起软件开发中就应该包括安全架构，应该引入安全开发工具，这样才能在项目结束时将漏洞将至最低。他补充到，大多数开发者没有受到安全编码的训练。

Code Dx CEO认为，大多数软件开发者和安全分析师没有意识到，如果只是使用了一个安全测试工具，即使是当前市场最好的一个，也不能检测出绝大多数漏洞，这也是该领域隐藏的秘密——没有一个安全开发工具足够好。

美国国家安全局(NSA)的一项研究表明，一般的应用安全测试工具只能覆盖13类漏洞中的8种，即61.5%的覆盖率。而对于平均每个单类漏洞也只能发现22%的漏洞，综合下来，漏洞发现率只有14%。

Code Dx CEO认为，NSA的的研究揭破了很多软件开发者对其漏洞扫描工具的信任幻象，80%以上的漏洞没法扫描到，任何组织都无法接受这样效果的工具。

据ReportsnReports调查，北美是全球最大的安全测试服务市场，2014年规模有24亿7千万美元，2019年将达到49亿6千万美元，年复合增长率达到14.9%。而SANS的超过一半会员表示将在下一年度大幅增加对应用安全项目的支出，只有3%表示将削减。

开源软件安全

企业对开源软件近100%的采用率催生了相关安全解决需求。

据Cartner 2015年报告，95%的主流IT组织表示在其IT系统中的关键任务中，直接或者间接采用了开源软件，到2020年，采用率还会有快速提升。

《2015开源软件未来》报告显示，有78%的企业系统基于开源软件运行，同时也非常缺乏常规管理策略及安全风险。

《Cisco 2015年度安全报告》认为，黑客活动利用应用漏洞开始盛行，云应用的兴起以及广泛使用的开源CMS框架创造了高漏洞网站和SaaS应用的温床，IT运维部门也许可以保持底层系统/网路安全攻击，但由软件开发者构建的应用组件充斥了大量漏洞，令人防不胜防。

Cisco安全业务主管、首席工程师Jason Brvenik表示，攻击者开始充分利用这种软件安全裂缝，我们观察到超过56%的OpenSSL版本依然存在心脏滴血漏洞，全球2000家企业中四分之三的企业在心脏滴血漏洞被发现的一年后依然没有任何改进补救。

由Linux基金及多家行业巨头发起的核心基础设施计划(CII)最近发表声明称，三个用于加强全球基础设施关键安全组件的项目将获得50万美元支持。

最近Linux基金会的年度报告中工作板块收集了1010位招聘经理及3446名Linux专业人员的反馈，结果显示2014心脏滴血bug之后，精通Linux安全的专业人员需求将大幅增加。

Black Duck Software CTO认为，在过去一年，8000个披露出来的漏洞中的40%出自开源软件项目，由于很多企业的基础架构都大量使用了开源软件，其中就存在很多潜伏了多年的漏洞，一旦被发现就会产生灾难性后果。

曾为美国内阁提供开源软件及标准战略支持的Stauart J.Mackintosh近日发起了一个众筹项目，用于对最流行的ERP开源软件Odoo做网络安全渗透测试，这是该软件首次经受如此严格的安全测试，Mackintosh表示后续不仅限于开源软件，也将启动对其他被全球范围广泛使用的软件进行测试，他希望融到3万9000美元，并保证全部费用都会用于Odoo安全测试所需要的软件开发上。

漏洞管理

尽管拥有90亿市场美元规模，心脏滴血漏洞证明了安全及漏洞管理服务还很差。

漏洞管理是一块需要防护者(安全运维小组)和构建者(开发工程师)共同工作来保证严重安全漏洞得以最快修复的关键领域，据“SANS 2015应用安全报告”数据，26%的安全部门需要花费每7天中的2天来为关键应用打补丁，22%的安全部门30天中有8天、14%的安全部门有3个月中的31天用于妥善部署补丁。

SANS报告还显示，接近一半的公司对于产品中的应用漏洞只是用很草率的方式快速修复或者用短期妥协方法处理如下线某个功能特性，这个数字令人担忧。

2014年，美国国家漏洞数据库中新添加了7038个新安全漏洞，平均每天19个。美国国家漏洞数据库由联邦当局成立用于存储记录网络漏洞数据，由美国国家技术标准研究所负责维护。

美国国家漏洞数据库的数据显示，2014年新添加的漏洞中有24%为高危漏洞，来自第三方应用的漏洞占80%，操作系统占13%，硬件设备有4%。漏洞最多的Top 3操作系统为Apple Mac OS(147); Apple iOS(127); Linux Kernel(119),有趣的是Microsoft操作系统不再列在Top 3。漏洞最多的Top 3应用都是浏览器 Microsoft IE(242);Google Chrome(124);Mozilla Firefox(117)。

451调查数据表明，修复一个漏洞的平均时长是176天，所以很多Windows上可供黑客利用的漏洞依然大幅公开。

Cybersecurity Market Report主编Steve Morgan表示，心脏滴血是一件里程碑式的安全漏洞灾难，也给企业安全管理人员一个清醒警示，整个IT社区也因此了解了安全的重要性，但奇怪的是(也许并不奇怪)依然有很多没有修复心脏漏洞的Web服务器暴露在风险之中。

知名漏洞管理解决方案提供商Digital Defense Inc的调查表明，全球60%的网站都用OpenSSL加密个人数据。由于OpenSSL如此广泛地应用在多种软件和硬件应用上，近乎所有组织都在某个方面受到影响，这个十年一见的心脏滴血事件影响至少一年。

Cisco 2015年度报告部分来源于全球九个城市1700个公司的CISO和安全运营中心问卷调查，该数据显示，56%的机构所采用的OpenSSL版本还是四年前的，这意味着还有大量企业存在心脏滴血漏洞。

据Markets&Markets预测，安全及漏洞管理市场将在2019年达到90亿美元规模，年复合增长率达到10.7%。

安全托管服务

全球安全托管服务(Managed Security Services)市场将从2015年的80亿美元爆发增长至2020年的300亿美元。

据Frost&Sullivan的"全球安全托管服务市场报告"显示，2018年，MSS市场规模将达到127亿8千万美元，而在2014年，MSS市场还只有78亿3千万美元。

而AMR认为，全球安全托管服务市场预计在2020年将达到299亿美元，未来五年年复合增长率将达到15.8%。

ABI Research表示，大多数机构缺乏安全专家来管理来自不同供应商、防不胜防的威胁、不断更新的安全法规组成的安全解决方案，而这种缺乏也在促进安全业务转向第三方安全托管服务机构。

IDC认为，企业安全支出中，安全即服务(SaaS)必将占据很大份额，2015年底，这个比例为15%，而到2018年，将上升至33%。

在最近的Gartner 安全&风险管理峰会上，Gartner分析师发现，很大比例的企业机构正在改变其安全资源分配观念，从偏操作的安全技术例如安全设备管理和监控，转变偏巩固及应急响应，这种转变也带来安全托管服务的快速增长。

Frost&Sullivan注意到，安全托管服务市场增长最快的国际是欧洲、众多和非洲，关键原因来自欧洲数据保护法规，同样的情况也发生在南美，越来越严格的法规和监管将促进安全托管服务市场增长，特别在医疗、银行和零售领域。

Gartner安全托管服务魔力象限根据安全供应理念的完整以及实施能力，将其分为不同梯队，其中在”领导者“列表中有Dell Securework、IBM、Verizon、AT&T、Symantec。右下方”挑战者“有：NTT、BT、HP以及CSC，可供CSIO们选择服务商以作参考。

IDC加拿大最近也发布了一份MSS市场份额报告，报告中主要涉及12家主要MSSP，其中TELUS，IBM，CGI和BEI列在领导者分类，而DELL、HerJavec Group、IPS、Above Security、eSentire、ALLstream、Wipro及Scalar为主要厂商。

点击复制链接与好友分享!回本站首页