视频: therunofsummer (十一月 2024)
在每个月的第二个星期二,即“补丁星期二”,Microsoft推出补丁程序,以修复Windows和Microsoft应用程序中的错误和安全漏洞。 在大多数情况下,解决的问题包括严重的安全漏洞,编程错误,这些错误可能使黑客渗透到网络安全,窃取信息或运行任意代码。 Adobe,Oracle和其他供应商都有自己的补丁程序时间表。 NSS Labs的一项令人震惊的新研究表明,在最初发现和补救之间,平均而言,黑客可以大约五个月不受限制地访问这些安全漏洞。 更糟糕的是,存在专门的市场来出售新发现的漏洞。
NSS Labs的研究主管Stefan Frei博士负责一项研究,该研究从两个主要的“漏洞购买计划”中筛选了十年来的数据。 弗雷的报告指出,所有得出的数字都是最低要求。 显然还有很多他们根本不知道的事情。 根据他们的了解,在过去几年中,有关漏洞利用的信息市场显着增长。 十年前,所研究的两家公司在任何一天都只有少量未公开的漏洞。 在过去的几年中,该数字已增长到150多个,其中50多个与前五名供应商有关:Microsoft,Apple,Oracle,Sun和Adobe。
便宜利用漏洞
Stuxnet和其他在国家/地区级别的攻击依靠多个未公开的安全漏洞来渗透安全性。 假设他们的创造者付出了巨大的代价,以获得对这些零日漏洞的独占访问权。 美国国家安全局(NSA)在2013年预算购买了2500万美元的漏洞利用软件。 仍然很高,但在网络犯罪组织的能力范围内。
弗雷(Frei)引用《纽约时报》的文章,该文章研究了四个精品漏洞利用提供商。 他们知道一个尚未公开的漏洞的平均价格在40, 000美元到160, 000美元之间。 根据从这些提供商获得的信息,他得出的结论是,他们每年至少可以提供100个独家漏洞利用。
供应商反击
一些软件供应商提供漏洞赏金,从而创建了一种众包研究程序。 发现以前未知的安全漏洞的研究人员可以直接从供应商处获得合法奖励。 这肯定比与网络骗子或与向网络骗子出售产品的人打交道更为安全。
典型的漏洞赏金从数百美元到数千美元不等。 微软的“缓解绕过赏金”支付了100, 000美元,但这并不是一个简单的漏洞赏金。 为了赚钱,研究人员必须发现可以颠覆Windows最新版本的“真正新颖的利用技术”。
你被黑了
Bug赏金不错,但总会有人寻求精品漏洞利用提供商和网络犯罪分子提供的更大奖励。 该报告得出的结论是,任何企业或大型组织都应假定其网络已被黑客入侵。 阻止甚至检测零时差攻击非常困难,因此安全团队应通过定义明确的事件响应计划来计划最坏的情况。
小型企业和个人网络呢? 该报告没有讨论这些漏洞,但我认为有人花了4万美元或更多钱来利用漏洞利用程序,就会把它瞄准最大的目标。
您可以在NSS Labs网站上阅读完整的报告。
