安全無小事！唯有不放過每一個針尖大的漏洞，才能將所有風險消除在萌芽狀態。

日前，以NVD為數據源，對1999-2019年的漏洞數據進行回顧分析，結合綠盟威脅情報中心（NTI）監測到的漏洞利用攻擊事件，總結了20年來漏洞研究及利用的趨勢，情況不容樂觀。

綠盟科技威脅情報與網絡安全實驗室高級技術總監、天樞實驗室負責人范敦球在接受C114采訪時表示，漏洞安全形勢非常嚴峻，2019年的漏洞數量同比1999年，增長了9.62倍。同時，范敦球指出，5G時代漏洞存于兩大“風險區”。

漏洞數量激增9.6倍：“安全左移”成藥方

隨著計算機網絡技術的發展，全球互聯網體量急速膨脹，網絡安全形勢日益嚴峻，國家政治、經濟、 文化、社會及公民在網絡空間的合法權益面臨嚴峻挑戰。近些年來安全漏洞數量呈現遞增趨勢，基于漏洞的網絡安全事件層出不窮，為我們敲響了信息安全攻防戰的警鐘。

軟件由于開發及設計等各方面的原因，存在漏洞在所難免。對安全研究人員來說，通過對漏洞發展 趨勢的研究，可以在攻擊者利用漏洞造成危害之前，提出及時有效的修補方案，盡可能的減少攻擊事件的發生。對軟件開發商來說，通過對漏洞的研究，可以幫助開發人員把更多的精力放在安全開發過程中需要注意的關鍵技術上，開發出高質量的軟件。

《報告》數據顯示，截至2019年底，NVD數據庫共收錄漏洞信息138909條。2019年的漏洞數量同比1999年，增長了9.62倍。這也意味著，漏洞安全形勢非常嚴峻。

“軟件及其系統中的漏洞是導致信息安全問題的根源所在，如何減少安全漏洞已經成為了信息安全從 業人員的熱門話題。”范敦球指出，“從目前看來，這一愿景與漏洞數量逐年增長的趨勢相悖。”《漏洞發展趨勢報告》指出，目前漏洞發展呈現了九大趨勢：

漏洞數量呈現顯著增長的總體趨勢；操作系統被公開的漏洞中，開源操作系統占比相對更高，其安全性問題可能暴露的更充分；根據綠盟威脅情報中心（NTI） 顯示，十年以上高齡漏洞在攻擊事件中占比仍然高。

瀏覽器作為網絡攻擊的入口，漏洞種類復雜多樣；利用文件格式漏洞的魚叉式釣魚攻擊已成為網絡安全的主要威脅之一，此類漏洞利用穩定性高，在APT攻擊事件中屢見不鮮；Flash漏洞作為曾經的研究焦點，今后一段時間內，Flash漏洞并不會徹底消亡，還需繼續關注。

與此同時，隨著開源軟件開發模式的興起，針對軟件供應鏈的攻擊成為面向軟件開發人員和供應商的一種新興威脅；近些年來社會各界對移動應用的漏洞關注度逐漸提高；物聯網設備數量增長迅速，設備廠商應該重視并加強自身產品的安全。

面對如此嚴峻的發展趨勢，企業又將如何避免安全漏洞安全的出現呢？對此，范敦球認為，“安全左移”可以從源頭上盡量減少漏洞的產生。“安全左移”就是在軟件開發、甚至設計的過程中就開始關注安全，將安全作為軟件的一個功能、屬性進行考慮，而不是附屬。

網絡安全的本質是攻與防的對抗，未知攻焉知防，只有在了解了各種攻擊技術和手段后才能采取更加有效的防御策略，從而避免安全事件的發生。

“當前的項目開發中，不少項目都是先進行生產功能的實現，測試生產功能沒有問題后，直接上線或者再考慮一些邊界安全問題。這樣的問題在于，雖然可以通過對程序的輸入進行嚴格的校驗，避免攻擊的發生。但是程序內部中的一些邏輯問題及潛在的安全問題都沒有機會被發現，一旦被外部攻擊者或用戶有意或無意的觸發，將造成直接影響。”范敦球強調，只有將安全作為軟件的固有功能和屬性從設計之初就加以考慮的話，可以部分避免安全漏洞的出現。

5G時代，漏洞存于兩大“風險區”

當前，全球新一輪科技革命和產業變革加速發展，5G作為新一代信息通信技術演進升級的重要方向，是實現萬物互聯的關鍵信息基礎設施、經濟社會數字化轉型的重要驅動力量。

世界很多國家都把5G作為經濟發展、技術創新的重點，將5G作為謀求競爭新優勢的戰略方向。根據全球移動供應商協會（GSA）統計，截至2019年底，全球119個國家或地區的348家電信運營商開展了5G投資，其中，61家電信運營商已經推出5G商用服務。

“每個硬幣都有兩面”。5G技術造福社會、造福人民的同時，也引發了新的網絡安全風險。在范敦球看來，5G時代的漏洞會分成兩類：

一類是如5G核心網、邊緣計算、人工智能推理引擎等新型基礎設施的自身漏洞，這部分漏洞如被利用，可能會造成整個系統出現災難性的后果；

另一類是基于新型基礎設施之上的第三方應用的業務漏洞，如邊緣計算支撐的智能交通、智慧醫療應用的漏洞，而這類漏洞則會影響到具體應用的安全性，也可能會造成嚴重影響，關系到人身安全、生產安全、社會安定等。

“隨著5G的推進，后一類的漏洞不會減少，相反可能會呈現快速增加的趨勢。”范敦球指出，作為安全廠商和安全服務提供商，綠盟科技會持續與運營商一起緊密配合。

一方面，綠盟科技將對新型基礎設施的安全性進行持續評估，使用新技術作為防護、檢測和響應的防守武器，減少核心系統的暴露面，提升整體基礎設施的健壯性；另一方面，綠盟科技也積極幫助運營商提供安全增值服務，協助其用戶提高應用安全性。

未雨綢繆，堵住“開源”與“物聯網”漏洞

隨著5G進程的推進，邊緣計算、AI和開源架構的混合云等技術扮演越來越重要的角色。實際上，虛擬化、云計算、云原生以及邊緣計算等這些創新的技術和應用都是發軔于開源。

“開源軟件面臨漏洞利用和軟件供應鏈的雙重攻擊。”范敦球指出，開源軟件具有開放、免費、功能靈活等特點，得到了越來越廣泛的應用，但是安全問題仍然普遍存在。公開的利用代碼在短時間內被集成到成熟的攻擊框架或木馬程序中，進一步降低了漏洞利用的門檻，而從漏洞公布到被攻擊者大規模利用的時間窗口也在進一步縮短，給安全廠商防護能力帶來了更大的挑戰。

常見開源軟件的漏洞數量

針對軟件供應鏈的攻擊，成為面向軟件開發人員和供應商的一種新興威脅。針對軟件供應鏈的攻擊在傳播速度上更快、影響范圍更廣、危害更大，同時也更隱蔽。軟件開發商應該制定軟件供應鏈標準、規范，遵循安全的開發流程，定期組織軟件供應鏈攻防演練競賽，定期對自身網站、軟件等進行檢測與加固，以減少受到此類攻擊的風險。

范敦球進一步補充道：“除了開源的安全形勢比較嚴峻之外，物聯網安全的問題也該重點關注，不應只在受到威脅時才被重視。”

Gartner報告指出，2016年全球物聯網設備數量為64億，2020 年將達到204億 ，增長218.75%，但是目前物聯網建設過程中考慮到信息安全的產品極少，絕大部分是“裸奔”狀態。

“物聯網相關的漏洞層出不窮，早在2016年針對路由器等物聯網設備的Mirai病毒就使美國東海岸的大量重要網絡服務癱瘓，近年來其危害一直不減。”范敦球認為之所以出現這種問題在于兩方面：一是物聯網廠商安全意識不強，沒有投入足夠資源進行安全開發，也限于成本沒有增強硬件和軟件的安全性；二是物聯網設備數量巨大、缺乏安全升級機制，一旦暴露在互聯網上且被利用，則很難修復，造成物聯網威脅經久不息。

面對物聯網的威脅，如何未雨綢繆？

范敦球認為，設備制造商應當重視設備的安全，指定安全的開發流程，對設備進行全面的安全測試。對于默認密碼的問題，應當在用戶第一次使用的時候，強制讓用戶修改密碼，并檢查用戶密碼的安全性，禁止設置弱密碼。對使用周期較長的設備，定期提供可更新的固件，以確保設備的安全性。

基于以上背景，綠盟科技與運營商合作，提出了物聯網安全解決方案，在設備出廠前就部署安全SDK的方式，結合云端安全監控，提供了安全加固、安全升級、異常檢測和訪問控制等一些列安全機制；通過物聯網安全網關與云端協同的方式，為出廠后的物聯網設備也提供了響應的檢測和防護機制。

范敦球透露，目前綠盟的物聯網安全解決方案已經在多個主流運營商得到了應用，有望提升運營商渠道物聯網設備的整體安全水平。同時，綠盟科技格物實驗室也對互聯網上面向物聯網的資產、脆弱性和威脅進行持續監控，相關的信息已融入到綠盟威脅情報服務，具備了第一時間的物聯網安全預警能力。此外，綠盟科技多次在業界首次捕獲并發布針對物聯網設備的攻擊活動，深入研究了物聯網資產的分布、變化態勢，得到了主管機構和行業客戶的關注和認可。
責任編輯:pj