一、前言
随着新漏洞数量的不断增加,漏洞管理已成为确保业务连续运行的最关键过程之一。很明显,及时修补是必不可少的,但定量了解延迟如何增加风险也很重要。攻击者使用刚刚披露的CVE或未知(0day)漏洞来破坏是什么?为了了解漏洞披露和漏洞利用开发的状况,在撰写本文时,研究人员分析了Exploit Database中的45,450种公共可用漏洞。该研究将漏洞利用数据与漏洞和补丁信息相关联,以从多个方面研究漏洞的发展。
研究表明:
- 在漏洞数据库中的45,450个公共漏洞中,漏洞数据库中有1,1,079(〜26%)个已映射CVE编号的漏洞。
- 在这1,1,079个漏洞中:14%是0day(在供应商发布补丁之前发布),23%在补丁发布后一周内发布,50%在补丁发布后一个月内发布。平均而言,漏洞发布是在补丁发布后37天发布的。尽快修补-供应商发布修补程序后,被利用漏洞的风险迅速增加。
- 在发布CVE之前,已经发布了80%的公共漏洞利用程序。平均而言,漏洞利用是在CVE发布前23天发布的。软件和硬件也可能带有没有CVE的公共漏洞。经常检查供应商的安全更新,并尽快应用更新。
自1999年以来的整个CVE列表,发现平均而言,分配CVE-ID 40天后发布CVE。在撰写本文时,研究人员分析了177,043个条目,其中超过10,000个CVE处于“保留”状态已超过两年。它表明漏洞发现与CVE发布之间存在很长的延迟。
根据美国网络安全基础设施和安全局(CISA),查看了2016-19 年度最经常利用的十大漏洞,以突出显示漏洞,漏洞利用和补丁发布之间的时差。值得注意的是,主要的软件供应商以更快的速度处理漏洞补丁,并且公开零日漏洞利用的百分比较低。
二、Exploit Database Overview
Exploit Database是最大的公共漏洞利用库。漏洞利用数据库中有45,450个漏洞利用。左图1显示了按漏洞利用类型和发布年份分类的漏洞利用数量。右图1显示了漏洞利用平台的分布。统计数据表明,自2003年以来,Web应用程序已成为最受欢迎的攻击目标。