第三方产品受到打击
如果知道已知漏洞的总数正在逐年增加,或者大多数人依靠远程网络攻击来渗透易受攻击的网络,则不会感到惊讶。 但是,Microsoft操作系统和程序中的重大缺陷正变得越来越小。 Secunia报告称,2012年有86%的活动漏洞影响了Java,Flash和Adobe Reader等第三方产品。 2007年,第三方漏洞占总数的不到60%。
从好的方面来说,发现漏洞与创建补丁之间的危险窗口正在缩小。 Secunia报告说,2012年这些威胁中有80%是当天发布补丁程序,而2007年这一比例是60%以上。确实有20%的用户在同一天甚至30天之内没有补丁程序,但是保持所有更新的软件都将确保您确实获得了所有当日补丁。
SCADA不安全
2013年审查报告涉及SCADA(监督控制和数据采集)系统中的漏洞。 这些系统控制着工厂,发电厂,核反应堆和其他高度重要的工业设施。 臭名昭著的Stuxnet蠕虫通过接管其SCADA控制器破坏了伊朗的铀浓缩离心机。
根据Secunia的说法,“当今的SCADA软件正处于10年前主流软件的阶段……在SCADA软件中,许多漏洞的修复时间超过一个月。” 一张具有代表性的SCADA漏洞的补丁程序图表显示,高风险类别中的几个漏洞在90天内没有补丁。
从理论上讲,SCADA系统应该不那么脆弱,因为它们没有连接到Internet。 实际上,情况并非总是如此,攻击者甚至可能损害本地网络连接。 没有任何网络连接的总“气隙”并不能保护Stuxnet离心机。 他们成为被技术人员在不知不觉中插入的受感染USB驱动器的受害者。 显然,SCADA软件供应商在维护安全性和推出补丁程序方面还有很多工作要做。
黑客争金
零日漏洞是一个刚刚发现的漏洞,该漏洞没有补丁。 Secunia的报告包含一个信息图表,该图表报告了在前25个最受欢迎的程序中,以及在前50、100、200和400中,每年发现的零日天数。总的数量逐年不同,在2011年达到峰值15个零日。
更有意思的是,在给定年份内,随着潜在受损程序库的增加,数量几乎没有变化。 几乎所有的零时差都会影响最受欢迎的节目。 这实际上很有意义。 发现其他人从未发现的程序缺陷需要大量的研究和艰苦的工作。 对于黑客来说,专注于分布最广泛的程序才有意义。 如果一百万个系统中只有一个安装了易受攻击的程序,那么可以完全控制受害人系统的漏洞就没有什么用了。
更多学习
我已经达到了顶峰,但是从Secunia的漏洞报告中可以学到很多东西。 您可以从Secunia的网站下载整个报告。 如果完整的报告似乎有点压倒性的,请不要担心。 Secunia的研究人员还准备了一个图表,该图表触及所有高点。
