近年来,针对漏洞的攻击越来越多,利用漏洞的病毒、木马技术进行网络盗窃和诈骗的网络犯罪活动呈快速上升趋势。产生了大范围的危害,由此给企业造成了重大经济损失。漏洞的问题成为危害整个信息安全业界的重要因素之一。因此总结了2016年的漏洞信息状况,并作出了“2016信息安全漏洞年报”供大家参考,本漏洞年报大部分数据基于整合世界三大漏洞库的安犬漏洞管理云平台漏洞库。
01
2016安全漏洞概况
▼
2016年共发布整理8805条漏洞信息(数据截止至2016.12/31)其中紧急级别漏洞数量为469个 严重级别漏洞为2384个 高危级别漏洞5804个 中危漏洞139个 低危漏洞9个。
漏洞等级的划分按照国际漏洞评分标准,以漏洞容易被利用的程度和影响剧烈度进行打分,简单的危害程度排序为:紧急>严重>高危>中危>低危。
而从年份来看,2014年漏洞库共收录7356个漏洞,其中紧急漏洞数量为313个2015年共收录7535个漏洞,其中紧急漏洞数量为516个,而2016年为8805个漏洞469个漏洞。
从数据上看,无论是漏洞数量还是紧急漏洞数量都呈逐年上升趋势,而zero days漏洞也逐渐增多。
漏洞数量呈上升趋势,究竟是好还是坏?
随着信息安全的发展,新的系统,新的构架,新的语言不断的刷新信息社会的发展水平,随之而来的则是新的信息安全漏洞。新的信息安全漏洞,不论是没有范例的zero days漏洞还是危害级别较强的紧急漏洞,(前段时间的美国DYN大型DDOS安全事件的起因仅仅是一个设备上的严重漏洞,因该设备使用商影响巨大而被划分为紧急漏洞)从被漏洞库收录记载下的那一刻,就已经在人类的控制之中。我们相信,越来越多的漏洞被发现,是我们的信息安全技术不断发展的结果,也是我们信息安全意识得到提升的具体体现。
02
系统漏洞
▼
2016年共有4496个漏洞属于系统方面的漏洞,按照不同的系统类别统计成下面的表格:
其中,Linux的漏洞有1257个,windows的漏洞有1160个;而移动端方面安卓平台的系统漏洞有752个,与之相比宣称很安全的IOS也曝出466个漏洞,占所有系统漏洞的10%。系统级的漏洞占据总漏洞的49%,而Linux与windows的漏洞占据系统漏洞的大半江山。
传统系统平台漏洞依旧是主流,移动平台逐现锋芒
半数的系统漏洞都是来自传统的系统平台Linux和windows,这可能算是传统系统更新的结果,这些漏洞也算是漏洞库里面的常客了,而来自移动平台的漏洞数量比例在不断变大,这一方面说明移动端的系统成为当前世界非常关注,发展迅速的重要组成部分。
而另一方面则表明,黑客或许也盯上了移动系统平台,在过去的一年里,移动系统平台,特别是IOS平台的重大漏洞引起的信息安全事件层出不穷。这警醒着信息安全的从业人员们,一定要重视信息安全漏洞。
03
漏洞类型与影响
▼
按照漏洞类型来进行分类,造成信息泄露和缓冲区溢出以及权限问题的漏洞占了较大比例,而这些影响可能引起更多的信息安全危害。对比2015年,这三类漏洞的占比逐年升高。
你的信息很有价值!
信息泄露漏洞的目的直接明了,告诉你就是要信息。缓冲区溢出之后,就是获取权限,也是获取信息。权限问题引起的更加不用讲,服务器被控制之后当然信息也泄露了。对于攻击漏洞的攻击者而言,能获取到的信息才是有价值的信息,这与这些类别漏洞的多发有一定的联系。
从安全行业的角度分析,这些漏洞必须隔离于重要信息系统之外,杜绝攻击者获取有价值信息的可能才是重要的安全举措。
04
漏洞侵袭,大有可为
▼
不管是对比前几年,还是漏洞库内部的对比,2016年的漏洞呈现出越来越严峻的形势,越来越多的漏洞出现在网络系统之间,而移动平台的系统逐渐成为多发漏洞的地方,并且透过漏洞,攻击者瞄准着个人信息。
对于漏洞整体的攻击体系正在不断成型,展望2017年,这种大趋势可能还将继续下去,信息安全行业人员,运维人员势必迎来更多的挑战。我们相信,只要正确的认识漏洞,了解攻击者利用漏洞的方式,及时应对,漏洞并不足为惧。
(本文使用大部分数据来源于安犬漏洞管理云平台漏洞库,部分参考数据来源于中国国家信息安全漏洞库。)
防微杜渐 培养实战人才
挖掘能力是安全行业人才综合实力的具体体现之一,单纯的当漏洞被黑客大规模攻击之后的防御、响应、弥补已经无法适应当今的安全形势。通过主动挖掘漏洞,及时发现漏洞并掌握利用漏洞的攻击方式,为企业及政府进一步提升漏洞防护能力,更多的成为白帽义不容辞的责任。当然,漏洞的挖掘也能给“赏金猎人”带来不菲的收益。
面对国家网络战的日益升级,以及变幻莫测的网络安全空间,炼石安全培训班顺势而为,通过培养专业的信息安全人才,为企业和政府输送具有丰富实战经验的精兵强将。
为满足不同人才学习信息安全技术的需求,炼石信息安全春季班面向不同人群进行招生↓↓↓
不少优秀学员已就职于公安部、国家信息安全中心!有兴趣的小伙伴可以进群了解哦!
炼石信息安全培训春季班开招
QQ:495066536
372806985
敬请持续关注……
