零日漏洞一直让安全从业者头疼阴魂不散的零日问题的根源之一,是开源代码的不断扩散这也是很多人想要知道零日漏洞当前趋势,以及缓解开源代码风险漏洞最佳實践的原因所在
网络安全风投公司最近发布了一份新的《零日漏洞报告》,为CISO和IT安全团队提供零日漏洞趋势、统计数据、最佳实践和资源
该报告凸显了一些预警性统计数据,包括:
应用攻击界面每年增加1110亿行软件代码
任务关键App中的开源代码将占99%
麦克·卡顿,Digital Defense 研发副总裁称:“从安全角度看,开源代码的大量使用是有问题的越来越多的公司不断投入开源代码怀抱,作为削减营销周期尽快将产品推向市场的一种手段。”
由于一块代码可作为软件组件应用到多种设备中这种组件中发现的零日漏洞复现率就可能倍增。你通常会在各种各樣的设备和平台上发现一连串的漏洞
推向市场的压力,催生了在企业产品中集成进更多库的新趋势但这每一个库,都代表着潜在的漏洞风险漏洞
卡顿称:“在以前,原生代码开发所占比重还要更大些但使用开源代码的好处,在于代码质量更高;坏处则显现于有人找箌漏洞之时。如今16个产品都出现了漏洞。”
开源组件和企业产品中常会发生的事情是开发人员将库集成进产品,却没有对它进行加固但凡集成时有个坚实的配置,情况都会好很多
那么,企业到底需要做点什么来解决这些漏洞呢?”每一行代码都是一个攻击系统某个庫能干25件事,但我们只需要其中2件那就要确保只有用到的那些确实暴露给执行代码。”
造成零日漏洞增多的另一个问题是公司在同一個产品中使用2或3个解决方案。“他们可能会使用2到3个数据库或SML解析器但仅使用能搞定所有需求的一个平台或一个组件,才是更好的选择”
强防护,来自于选择正确的工具“SQL轻量级组件,更少代码更少功能,但有的都是与你任务相关的那些”
虚拟化趋势,也降低了攻击者进入系统查看某些此类产品后台的门槛“你可以下载一个虚拟机。企业应用空间里触手可及的目标很多”
这个问题真心在厂商洎身身上。“他们得注意到攻击者真的能这么做确保他们自己先来一遍严格的安全评估。”