频道栏目
首页 > 资讯 > 安全公告 > 正文

安全报告:通过NVD漏洞库看近年漏洞发展趋势

16-05-10        来源:[db:作者]  
收藏   我要投稿

2016年已经过去小半了,是时候对过去几年的漏洞进行分析了。本篇文章将会对NVD漏洞库过去5年的漏洞进行分析,看看漏洞的发展趋势是怎么样的。

为什么选用NVD漏洞库呢?根据维基百科的说法,NVD是由美国政府收集的漏洞库,使用的是安全内容自动化协议(SCAP)。NVD包括数据库与安全相关的软件缺陷,错误配置,产品名称,影响范围等等。这些都是我们分析所需要的内容。通过分析NVD过去5年的数据,我们需要回答下列问题:

漏洞过去5年的趋势是怎么样的?这些数据有什么特殊的地方?

这些漏洞究竟有多严重,高危漏洞是多了还是少了?

哪个供应商生产了最多存在漏洞的产品?

哪个产品的漏洞最多?

哪个系统?Windows 系统,还是Linux系统?

哪个移动系统?IOS,Android还是Windows?

哪个web浏览器?Safari,IE还是Firefox?

漏洞与年份的线性相关图:

图片1.png

如上图,2015年的漏洞数量相比2014年的下降了20%。但是,如果我们观察总体的漏洞增长趋势的话,会发现2015年的总体增长量是正常的,2014年的超过50%的增长才是不正常的。总体的对比一下,发现大概每年可以增长24%。

但是,这并不意味者2014年就是最糟糕的,总体的趋势上来看,每年漏洞的数量一致在上涨,而且未来几年内将会持续上涨。再深入观察,我们发现了一些更有趣的事情。相比2014年的漏洞,2015年的高危漏洞更多,而2014年爆出来的漏洞最多的是中危漏洞。CVSS等级是 4, 5, 和6的漏洞居多,而15年有更多的漏洞是CVSS 7,8,9和10的。

 
图片2.png

从上图可知,2015年有超过3376个高危漏洞,然而在2014年只有2887个。(多了17%)

换句话说,高危漏洞的比例在增加,这一点足以引起我们的注意,我们必须要花更多时间来建设我们的漏洞检测体系。

漏洞的严重性

下面的表格是根据CVSS的等级显示的2015年漏洞分布。其中10是最高危的漏洞,1是最低危漏洞。

图片3.png

可以看到,CVSS 9到10 的漏洞数量非常多,以下是具体的数目:

图片4.png

这意味着15年的所有漏洞中36%的漏洞是高危的(CVSS > = 7)。CVSS平均值是6.8,处于一个很危险的地步,差点就到7这个高危的数字了。

可以看出,漏洞的严重性一直在增加,但是这不一定都是坏事。这暴露出一个问题:我们必须要建立起一个漏洞监管系统,将漏洞的危害降到最低。有效的漏洞监管系统将会帮助你即使发现漏洞,并且对漏洞做出有效的应急措施,及时修复漏洞。

厂商的漏洞情况

我们来通过供应商的部分分析下NVD数据库的内容。没有任何公司能逃避漏洞的浪潮,包括苹果公司。现实就是,漏洞一直都存在,关键是要如何在这些漏洞被破坏者利用之前及时的修复漏洞。

在2015年,苹果公司爆出来的漏洞最多。而且这些漏洞的数量在上升。

下面是完整的图表:

图片5.png

2014年的时候,苹果公司爆出来的漏洞排在第5位,微软第三,Cisco第四。令人惊奇的是,Oracle今年排在第4,要知道去年他们是排在第二的。是否该恭喜下Canonical和 Novel呢?可是他们在2014年根本就没有进入前十(他们分别是13和15),呵呵呵。所以,苹果公司去年这一步跳的扯到蛋了。如果你有很多设备是苹果的,那么是时候考虑下你的资产安全了。

下图是2014年和2015年漏洞排名前十的供应商。

图片6.png

操作系统漏洞情况

根据2015年的统计,OSX系统的漏洞最多,其次是Windows 2012,然后是Ubuntu Linux。在开源系统中,漏洞最多的是Ubuntu,其次是debian。有趣的是Windows 7,作为最流行的桌面应用系统,爆出来的漏洞居然低于Ubuntu,真是很惊奇呀。

图片6.png

上图是移动设备系统的漏洞图。可以看出,2015年公布的IPhone 系统的漏洞是最多的。Windows和Android其次。这和2014年的并没有多大区别。2014年也是Iphone最多,然后是window和Android。

图片7.png

应用软件漏洞情况

 
图片8.png

浏览器漏洞情况

图片9.png

由上图可以看出,2015年IE爆出的漏洞最多。这和2014年的情况基本一样,也是IE, Chrome, Firefox, Safari 这样的排名顺序。

总结

根据NVD近几年的漏洞情况,我们预计今年CVSS等级高危的漏洞数量可能会更多。此外,移动系统安全将会是热门领域。同时,随着越来越多移动安全专家公布移动设备的漏洞,移动系统的漏洞也将持续上升。

最后,总体的漏洞环境给我们的时间真的不多了,我们自身的资源也有限。但是如果我们能好好的利用类似NVD这样的已有的漏洞库,将这些漏洞库利用到我们自己的环境中,我们可以用这些信息帮助我们构建一个很良好的应急体系。

相关TAG标签
上一篇:微软 Office 365平台SAML服务漏洞,可越权访问其他用户资源
下一篇:新浪博客命令执行
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站