转载

安全报告:通过NVD漏洞库看近年漏洞发展趋势

2016年已经过去小半了,是时候对过去几年的漏洞进行分析了。本篇文章将会对NVD漏洞库过去5年的漏洞进行分析,看看漏洞的发展趋势是怎么样的。

为什么选用NVD漏洞库呢?根据维基百科的说法,NVD是由美国政府收集的漏洞库,使用的是安全内容自动化协议(SCAP)。NVD包括数据库与安全相关的软件缺陷,错误配置,产品名称,影响范围等等。这些都是我们分析所需要的内容。通过分析NVD过去5年的数据,我们需要回答下列问题:

漏洞过去5年的趋势是怎么样的?这些数据有什么特殊的地方?

这些漏洞究竟有多严重,高危漏洞是多了还是少了?

哪个供应商生产了最多存在漏洞的产品?

哪个产品的漏洞最多?

哪个系统?Windows 系统,还是Linux系统?

哪个移动系统?IOS,Android还是Windows?

哪个web浏览器?Safari,IE还是Firefox?

漏洞与年份的线性相关图:

安全报告:通过NVD漏洞库看近年漏洞发展趋势

如上图, 2015 年的漏洞数量相比 2014 年的下降了 20% 。但是,如果我们观察总体的漏洞增长趋势的话,会发现 2015 年的总体增长量是正常的, 2014 年的超过 50% 的增长才是不正常的。总体的对比一下,发现大概每年可以增长 24%

但是,这并不意味者 2014 年就是最糟糕的,总体的趋势上来看,每年漏洞的数量一致在上涨,而且未来几年内将会持续上涨。再深入观察,我们发现了一些更有趣的事情。相比 2014 年的漏洞, 2015 年的高危漏洞更多,而 2014 年爆出来的漏洞最多的是中危漏洞。 CVSS 等级是  4, 5,  6 的漏洞居多,而 15 年有更多的漏洞是 CVSS 7,8,9 10 的。

安全报告:通过NVD漏洞库看近年漏洞发展趋势

从上图可知, 2015 年有超过 3376 个高危漏洞,然而在 2014 年只有 2887 个。(多了 17%

换句话说,高危漏洞的比例在增加,这一点足以引起我们的注意,我们必须要花更多时间来建设我们的漏洞检测体系。

漏洞的严重性

下面的表格是根据 CVSS 的等级显示的 2015 年漏洞分布。其中 10 是最高危的漏洞, 1 是最低危漏洞。

安全报告:通过NVD漏洞库看近年漏洞发展趋势

可以看到, CVSS 9 10  的漏洞数量非常多,以下是具体的数目:

安全报告:通过NVD漏洞库看近年漏洞发展趋势

这意味着 15 年的所有漏洞中 36% 的漏洞是高危的 (CVSS > = 7) CVSS 平均值是 6.8 ,处于一个很危险的地步,差点就到 7 这个高危的数字了。

可以看出,漏洞的严重性一直在增加,但是这不一定都是坏事。 这暴露出一个问题:我们必须要建立起一个漏洞监管系统,将漏洞的危害降到最低。有效的漏洞监管系统将会帮助你即使发现漏洞,并且对漏洞做出有效的应急措施,及时修复漏洞。

厂商的漏洞情况

我们来通过供应商的部分分析下 NVD 数据库的内容。没有任何公司能逃避漏洞的浪潮,包括苹果公司。现实就是,漏洞一直都存在,关键是要如何在这些漏洞被破坏者利用之前及时的修复漏洞。

2015 年,苹果公司爆出来的漏洞最多。而且这些漏洞的数量在上升。

下面是完整的图表:

安全报告:通过NVD漏洞库看近年漏洞发展趋势

2014 年的时候,苹果公司爆出来的漏洞排在第 5 位,微软第三, Cisco 第四。令人惊奇的是, Oracle 今年排在第 4 ,要知道去年他们是排在第二的。是否该恭喜下 Canonical 和  Novel 呢?可是他们在 2014 年根本就没有进入前十(他们分别是 13 15 ),呵呵呵。所以,苹果公司去年这一步跳的扯到蛋了。如果你有很多设备是苹果的,那么是时候考虑下你的资产安全了。

下图是 2014 年和 2015 年漏洞排名前十的供应商。

安全报告:通过NVD漏洞库看近年漏洞发展趋势

操作系统漏洞情况

根据 2015 年的统计, OSX 系统的漏洞最多,其次是 Windows 2012 ,然后是 Ubuntu Linux 。在开源系统中,漏洞最多的是 Ubuntu ,其次是 debian 。有趣的是 Windows 7 ,作为最流行的桌面应用系统,爆出来的漏洞居然低于 Ubuntu ,真是很惊奇呀。

安全报告:通过NVD漏洞库看近年漏洞发展趋势

上图是移动设备系统的漏洞图。可以看出, 2015 年公布的 IPhone  系统的漏洞是最多的。 Windows Android 其次。这和 2014 年的并没有多大区别。 2014 年也是 Iphone 最多,然后是 window Android

安全报告:通过NVD漏洞库看近年漏洞发展趋势

应用软件漏洞情况

安全报告:通过NVD漏洞库看近年漏洞发展趋势

浏览器漏洞情况

安全报告:通过NVD漏洞库看近年漏洞发展趋势

由上图可以看出, 2015 IE 爆出的漏洞最多。这和 2014 年的情况基本一样,也是 IE, Chrome, Firefox, Safari  这样的排名顺序。

总结

根据 NVD 近几年的漏洞情况,我们预计今年 CVSS 等级高危的漏洞数量可能会更多。此外,移动系统安全将会是热门领域。同时,随着越来越多移动安全专家公布移动设备的漏洞,移动系统的漏洞也将持续上升。

最后,总体的漏洞环境给我们的时间真的不多了,我们自身的资源也有限。但是如果我们能好好的利用类似 NVD 这样的已有的漏洞库,将这些漏洞库利用到我们自己的环境中,我们可以用这些信息帮助我们构建一个很良好的应急体系。

*参考来源: NVD ,FB小编东二门陈冠希编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文  http://www.freebuf.com/vuls/103661.html
正文到此结束
Loading...