零日漏洞一直讓安全從業(yè)者頭疼。陰魂不散的零日問(wèn)題的根源之一，是開(kāi)源代碼的不斷擴(kuò)散。這也是很多人想要知道零日漏洞當(dāng)前趨勢(shì)，以及緩解開(kāi)源代碼風(fēng)險(xiǎn)最佳實(shí)踐的原因所在。

[[183280]]

網(wǎng)絡(luò)安全風(fēng)投公司最近發(fā)布了一份新的《零日漏洞報(bào)告》，為CISO和IT安全團(tuán)隊(duì)提供零日漏洞趨勢(shì)、統(tǒng)計(jì)數(shù)據(jù)、最佳實(shí)踐和資源。

該報(bào)告凸顯了一些預(yù)警性統(tǒng)計(jì)數(shù)據(jù)，包括：

應(yīng)用攻擊界面每年增加1110億行軟件代碼

任務(wù)關(guān)鍵App中的開(kāi)源代碼將占99%

麥克·卡頓，Digital Defense 研發(fā)副總裁，稱：“從安全角度看，開(kāi)源代碼的大量使用是有問(wèn)題的。越來(lái)越多的公司不斷投入開(kāi)源代碼懷抱，作為削減營(yíng)銷周期，盡快將產(chǎn)品推向市場(chǎng)的一種手段。”

由于一塊代碼可作為軟件組件應(yīng)用到多種設(shè)備中，這種組件中發(fā)現(xiàn)的零日漏洞復(fù)現(xiàn)率就可能倍增。你通常會(huì)在各種各樣的設(shè)備和平臺(tái)上發(fā)現(xiàn)一連串的漏洞。

推向市場(chǎng)的壓力，催生了在企業(yè)產(chǎn)品中集成進(jìn)更多庫(kù)的新趨勢(shì)，但這每一個(gè)庫(kù)，都代表著潛在的漏洞風(fēng)險(xiǎn)。

卡頓稱：“在以前，原生代碼開(kāi)發(fā)所占比重還要更大些。但使用開(kāi)源代碼的好處，在于代碼質(zhì)量更高;壞處，則顯現(xiàn)于有人找到漏洞之時(shí)。如今，16個(gè)產(chǎn)品都出現(xiàn)了漏洞。”

開(kāi)源組件和企業(yè)產(chǎn)品中常會(huì)發(fā)生的事情是，開(kāi)發(fā)人員將庫(kù)集成進(jìn)產(chǎn)品，卻沒(méi)有對(duì)它進(jìn)行加固。但凡集成時(shí)有個(gè)堅(jiān)實(shí)的配置，情況都會(huì)好很多。

那么，企業(yè)到底需要做點(diǎn)什么來(lái)解決這些漏洞呢?”每一行代碼都是一個(gè)攻擊系統(tǒng)。某個(gè)庫(kù)能干25件事，但我們只需要其中2件。那就要確保只有用到的那些確實(shí)暴露給執(zhí)行代碼。”

造成零日漏洞增多的另一個(gè)問(wèn)題，是公司在同一個(gè)產(chǎn)品中使用2或3個(gè)解決方案。“他們可能會(huì)使用2到3個(gè)數(shù)據(jù)庫(kù)或SML解析器，但僅使用能搞定所有需求的一個(gè)平臺(tái)或一個(gè)組件，才是更好的選擇。”

強(qiáng)防護(hù)，來(lái)自于選擇正確的工具。“SQL輕量級(jí)組件，更少代碼，更少功能，但有的都是與你任務(wù)相關(guān)的那些。”

虛擬化趨勢(shì)，也降低了攻擊者進(jìn)入系統(tǒng)查看某些此類產(chǎn)品后臺(tái)的門(mén)檻。“你可以下載一個(gè)虛擬機(jī)。企業(yè)應(yīng)用空間里觸手可及的目標(biāo)很多。”

這個(gè)問(wèn)題真心在廠商自身身上。“他們得注意到攻擊者真的能這么做，確保他們自己先來(lái)一遍嚴(yán)格的安全評(píng)估。”