近日，Trustworthy Computing發(fā)布了新的報告，調(diào)查了微軟緩解安全漏洞的措施在安全問題上的影響。這份報告基在過去七年間微軟通過安全升級處理過的被黑客利用的漏洞的研究。這一研究專注于評估各種被黑客利用的漏洞的類型，被攻擊的產(chǎn)品的版本和被黑客使用的漏洞利用手段在過去的趨勢。

這份報告中有幾個關(guān)鍵，被稱作軟件漏洞的利用方法，包括：

每年已知可以利用的遠程代碼執(zhí)行漏洞(RCE)數(shù)量正在下降。

漏洞最經(jīng)常在安全補丁發(fā)布之后才被利用。盡管這些年在安全補丁發(fā)布之前就被利用起來的漏洞的百分比有所增加。​

圖1：在補丁發(fā)布之前和之后被利用的CVE漏洞所占的百分比

堆棧溢出漏洞曾經(jīng)是最常見的漏洞利用類別。但是現(xiàn)在已經(jīng)很少了。堆棧溢出漏洞的使用率從2006年的43%下降到了2012年的7%。

圖2：已知可以被利用的CVE漏洞的類別分布

釋放后使用(Use-After-Free)漏洞現(xiàn)在是最常見的漏洞利用類別。

漏洞利用越來越依賴于能繞開數(shù)據(jù)執(zhí)行保護(DEP)和地址空間布局隨機化(ASLR)的技術(shù)。

圖3：通過各種不同的技術(shù)利用的CVE漏洞的數(shù)量

這個研究中還有大量數(shù)據(jù)，可以幫我們理解使漏洞利用變得更加困難的因素。這份基于該研究的報告為我們提供了如何減少被入侵的可能性和管理風(fēng)險的具體建議。

我們建議機構(gòu)中負責(zé)管理風(fēng)險的人士閱讀這篇論文。

你可能會好奇我們?yōu)槭裁催M行這樣一個研究。我認識的許多客戶都對使用軟件漏洞的數(shù)量來評估他們的軟件供應(yīng)商在開發(fā)嚴重漏洞更少的軟件上的進步的方法感興趣。我們在微軟安全情報報告(SIR)中發(fā)布各種漏洞數(shù)量統(tǒng)計，但是這樣的數(shù)據(jù)似乎意味著各種漏洞帶來的風(fēng)險是相同的。當(dāng)我們仔細研究那些真的被攻擊者利用的類別和它們是如何被利用的時候。我們能更直觀的看到正在發(fā)生的趨勢，和如何高效的管理相關(guān)風(fēng)險。

這次研究是由微軟安全工程中心(MSEC)和微軟安全響應(yīng)中心(MSRC)進行的。MSEC有著業(yè)內(nèi)最先進的安全科學(xué)團隊。安全科學(xué)團隊能夠在以下三個方面幫助到客戶：

幫助發(fā)現(xiàn)軟件漏洞

開發(fā)程序員應(yīng)該接受的漏洞緩解技術(shù)和工具。安全科學(xué)團隊的研究成果通常會提供微軟安全開發(fā)流程(SDL)，一種每個微軟產(chǎn)品開發(fā)中都需要強制執(zhí)行的過程。目標(biāo)是使每個操作系統(tǒng)、瀏覽器和應(yīng)用程序的新版本都比之前的版本更難攻擊，讓攻擊者的惡意攻擊都更加困難和需要更高成本。

在威脅環(huán)境中持續(xù)監(jiān)測威脅趨勢和活動，并且將學(xué)到的新技術(shù)用來改進微軟的工具和流程。當(dāng)測定到新威脅進入到生態(tài)系統(tǒng)中時，MSRC和微軟響應(yīng)流程會馬上運作起來。

本文來自微軟可信計算的主管Tim Rains的文章《The Impact of Security Science in Protecting Customers》。