零日漏洞已成新常态？

微软研究显示，2017年每个被利用的Windows漏洞都是从零日攻击开始的。其他研究表明该趋势横跨整个IT领域。

IT安全界传统观点认为零日漏洞利用很稀少，我们更需关注构成攻击主体的非零日漏洞。但2月7日的微软蓝帽大会( Blue Hat )上，微软安全研究员 Matt Miller 以微软Windows开发及防御演变为主题的精彩报告，挑战了这一传统认知。

Miller收集到的数据显示零日漏洞实际上已成当今IT领域常态，非零日漏洞正随时间进程变得不那么常见。2017年，每个被利用的微软漏洞都是从零日攻击开始的。2012年，这一比例是52%；2008年是更低的21%。

毫无疑问，调查结果引发了广泛讨论。如果错误理解了Miller的发现，人们可能会质疑：如果绝大部分漏洞都没有补丁，修复操作还有什么价值呢？但单一的数据是说明不了问题的，防御的构建不能仅以一个数据点做为基础。下面我们就来看看为什么不能仅以Miller的数据当做部署防御的依据。

大多数漏洞都没被利用

尽管现在每年新发现的公开漏洞都在1.5万个以上，但其中大多数其实是从未被利用过的。Miller的数据也表明，仅仅0.02%（588个 Windows CVE 中的12个）是被活跃利用的。其他风险管理公司也证实了这一点，比如 Kenna Security 就称，仅0.6%的CVE（不仅仅是 Windows CVE）曾出现过野生的漏洞利用情况。

所以，用户无需担心大多数披露出来的漏洞，只需关注少数几个有野生漏洞利用的即可。也就是说，与其试图泛泛修复1.5万个潜在漏洞，不如专注完美修复90个相关漏洞。如果你只关注微软Windows补丁，这意味着600个已公布Windows漏洞中你只需要重点关注12个就够了。哪几个呢？那些有公开漏洞利用代码的。

这一标准决定了是否需要应用补丁。Computerworld的 Woody Leonhard 甚至认为，就Miller的数据揭示出来的东西而言，大部分微软补丁都不需要一经推出就立即应用。

不过，在何时应用微软补丁上，大家见仁见智，越快应用越好的想法也很有市场。数据显示，大部分风险都不是出现在补丁刚放出的那几天里。所以，非高风险环境中，是可以稍微等几天，确保所有漏洞已找出且被其他早期补丁采纳者解决之后，再应用补丁。

首次被利用不等于被利用得多

Miller的数据确实表明，大部分被利用的Windows漏洞都是作为零日漏洞被首次应用到目标公司身上，这一点很是令人惊讶。但是，零日攻击之后该漏洞的被利用频次如何，就不是能从他的数据“臆测”的了。

Miller的数据仅仅揭示首日和头30天里被利用的漏洞，并未呈现30天之后发生了什么。而且更重要的是，这几个时间段里的被利用频次也未涉及。

比如说，假设零日漏洞在首日被用到了某家公司的35台设备上，但只要漏洞利用代码被公开，接下来的几年内将会有数百万设备受害。Miller的数据并未显示各时间段里设备所承受的总体风险程度。但无论新漏洞利用被披露的方式如何(零日或经由相应的补丁发布)，都没有考虑到漏洞可导致的整体风险。

零日漏洞成本上升

零日漏洞盛行的观点站不住脚：从最普遍的供需关系看，随着零日漏洞的普及，漏洞给其发现者所带来的利润必然减少。漏洞奖励项目为零日漏洞设的奖金倒是仍在走高。也就是说，零日漏洞，至少对攻击者而言好用的零日漏洞，只会越来越少。

漏洞根本不是你的首要问题

事实上，绝大多数成功恶意数据泄露都是因为社会工程的完美运用，而不是源自软件漏洞利用。每年各家安全或咨询公司给出的数据都不一样，但近10年来，社会工程方法，尤其是网络钓鱼，都已经取代软件漏洞，成为攻击者突破设备或网络的首要方式。在比较零日漏洞和非零日漏洞的时候，千万别忘了我们的最大问题并不是软件和硬件修复。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。