IT技术互动交流平台

通过NVD漏洞库看近年漏洞发展趋势

作者:佚名  发布日期:2016-05-10 22:31:11

2016年已经过去小半了,是时候对过去几年的漏洞进行分析了。本篇文章将会对NVD漏洞库过去5年的漏洞进行分析,看看漏洞的发展趋势是怎么样的。
为什么选用NVD漏洞库呢?根据维基百科的说法,NVD是由美国政府收集的漏洞库,使用的是安全内容自动化协议(SCAP)。NVD包括数据库与安全相关的软件缺陷,错误配置,产品名称,影响范围等等。这些都是我们分析所需要的内容。通过分析NVD过去5年的数据,我们需要回答下列问题:
漏洞过去5年的趋势是怎么样的?这些数据有什么特殊的地方?
这些漏洞究竟有多严重,高危漏洞是多了还是少了?
哪个供应商生产了最多存在漏洞的产品?
哪个产品的漏洞最多?
哪个系统?Windows 系统,还是Linux系统?
哪个移动系统?IOS,Android还是Windows?
哪个web浏览器?Safari,IE还是Firefox?
漏洞与年份的线性相关图:

 
如上图,2015年的漏洞数量相比2014年的下降了20%。但是,如果我们观察总体的漏洞增长趋势的话,会发现2015年的总体增长量是正常的,2014年的超过50%的增长才是不正常的。总体的对比一下,发现大概每年可以增长24%。
但是,这并不意味者2014年就是最糟糕的,总体的趋势上来看,每年漏洞的数量一致在上涨,而且未来几年内将会持续上涨。再深入观察,我们发现了一些更有趣的事情。相比2014年的漏洞,2015年的高危漏洞更多,而2014年爆出来的漏洞最多的是中危漏洞。CVSS等级是 4, 5, 和6的漏洞居多,而15年有更多的漏洞是CVSS 7,8,9和10的。

 
从上图可知,2015年有超过3376个高危漏洞,然而在2014年只有2887个。(多了17%)
换句话说,高危漏洞的比例在增加,这一点足以引起我们的注意,我们必须要花更多时间来建设我们的漏洞检测体系。
漏洞的严重性
下面的表格是根据CVSS的等级显示的2015年漏洞分布。其中10是最高危的漏洞,1是最低危漏洞。

 
可以看到,CVSS 9到10 的漏洞数量非常多,以下是具体的数目:

 
这意味着15年的所有漏洞中36%的漏洞是高危的(CVSS > = 7)。CVSS平均值是6.8,处于一个很危险的地步,差点就到7这个高危的数字了。
可以看出,漏洞的严重性一直在增加,但是这不一定都是坏事。这暴露出一个问题:我们必须要建立起一个漏洞监管系统,将漏洞的危害降到最低。有效的漏洞监管系统将会帮助你即使发现漏洞,并且对漏洞做出有效的应急措施,及时修复漏洞。
厂商的漏洞情况
我们来通过供应商的部分分析下NVD数据库的内容。没有任何公司能逃避漏洞的浪潮,包括苹果公司。现实就是,漏洞一直都存在,关键是要如何在这些漏洞被破坏者利用之前及时的修复漏洞。
在2015年,苹果公司爆出来的漏洞最多。而且这些漏洞的数量在上升。
下面是完整的图表:

 
2014年的时候,苹果公司爆出来的漏洞排在第5位,微软第三,Cisco第四。令人惊奇的是,Oracle今年排在第4,要知道去年他们是排在第二的。是否该恭喜下Canonical和 Novel呢?可是他们在2014年根本就没有进入前十(他们分别是13和15),呵呵呵。所以,苹果公司去年这一步跳的扯到蛋了。如果你有很多设备是苹果的,那么是时候考虑下你的资产安全了。
下图是2014年和2015年漏洞排名前十的供应商。

 
操作系统漏洞情况
根据2015年的统计,OSX系统的漏洞最多,其次是Windows 2012,然后是Ubuntu Linux。在开源系统中,漏洞最多的是Ubuntu,其次是debian。有趣的是Windows 7,作为最流行的桌面应用系统,爆出来的漏洞居然低于Ubuntu,真是很惊奇呀。
 

 
上图是移动设备系统的漏洞图。可以看出,2015年公布的IPhone 系统的漏洞是最多的。Windows和Android其次。这和2014年的并没有多大区别。2014年也是Iphone最多,然后是window和Android。

 
应用软件漏洞情况

 
浏览器漏洞情况

 
由上图可以看出,2015年IE爆出的漏洞最多。这和2014年的情况基本一样,也是IE, Chrome, Firefox, Safari 这样的排名顺序。
总结
根据NVD近几年的漏洞情况,我们预计今年CVSS等级高危的漏洞数量可能会更多。此外,移动系统安全将会是热门领域。同时,随着越来越多移动安全专家公布移动设备的漏洞,移动系统的漏洞也将持续上升。
最后,总体的漏洞环境给我们的时间真的不多了,我们自身的资源也有限。但是如果我们能好好的利用类似NVD这样的已有的漏洞库,将这些漏洞库利用到我们自己的环境中,我们可以用这些信息帮助我们构建一个很良好的应急体系。
 

Tag标签: 洞库   漏洞   趋势  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规