3.1 安全漏洞的产生与发展

第1节安全漏洞的产生与发展第3章目

录01安全漏洞的概念02安全漏洞的分类03安全漏洞的发展趋势01安全漏洞的概念什么是安全漏洞？安全漏洞定义计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。 --《GB/T28458--2012信息安全技术安全漏洞标识与描述规范》安全漏洞的危害被攻击者植入恶意代码信息被窃取造成病毒传播，危害其他主机常见的安全漏洞软件层面硬件层面应用软件漏洞系统软件漏洞操作系统漏洞Web漏洞、APP漏洞CVE-2019-5736、CVE-2021-44832MS17-010、CVE-2019-0708、CVE-2020-0796物理计算机鼠标USB接收器主机接口漏洞、物理环境漏洞Razer鼠标本地权限升级（LPE）漏洞LogitechUnifyingUSB接收器漏洞（CVE-2019-13054）CVE简介什么是CVE？01.CVE（通用漏洞披露）=CommonVulnerabilitiesandExposures，是一个安全项目，它由美国国土安全部资助，Mitre公司进行维护主要关注公开发布的软件漏洞。02.03.04.05.一旦漏洞被记录下来，Mitre就会为其提供一个唯一的ID。具体某一个漏洞的编号：CVE+年份+4位随机数字(也有5位数字的情况)。如：CVE-2018-7600CVE可以从商业编号机构（非政府机构）获取其数字ID，这些机构将编号用于其自身的产品中以便发现漏洞和风险。现在的安全工具，比如漏扫，都支持或者兼容CVE漏洞，就是CVE里有的漏洞，它都能作为漏洞库进行检测。CVE特点CVE的特点50为每个漏洞和暴露确定了唯一的名称给每个漏洞和暴露一个标准化的描述不是一个数据库，而是一个字典任何完全迥异的漏洞库都可以用同一个语言表述由于语言统一，可以使得安全事件报告更好地被理解，实现更好的协同工作可以成为评价相应工具和数据库的基准非常容易从互联网查询和下载安全漏洞产生的原因1、技术原因软件系统规模的迅速膨胀及内部结构的日益复杂，直接导致软件系统复杂性的提高，使软件系统质量难以控制，安全性降低。2、经济原因软件系统开发过程需要研发人员投入大量的人力和物力。软件开发过程中考虑的安全问题越多，需要投入的人数就会越多，成本就会越高。因此从经济的角度考虑，软件系统开发的过程不可避免的会引入安全漏洞。安全漏洞产生的原因3、环境原因4、安全缺陷软件系统的运行环境发生了改变。从传统的封闭、静态和可控变为开放、动态和难控。在这样的应用环境下，不仅会产生更多的漏洞类型和数量，而且漏洞产生的危害和影响要远远超过在非网络或同构网络环境下的漏洞的危害和影响程度。安全缺陷是软件、硬件或协议在开发维护和运行使用阶段产生的安全错误实例。安全缺陷存在于软件系统生命周期的各个阶段。2021年12月10日凌晨，被全球广泛应用的组件ApacheLog4j被曝出一个高危漏洞，攻击者仅需一段代码就可远程控制受害者服务器。经专家研判，该漏洞影响范围极大，且利用方式十分简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制用户受害者服务器，90%以上基于java开发的应用平台都会受到影响，全球范围内的大多数科技公司都可能会受到影响，如百度、苹果公司等。1、上述案例属于什么攻击类型？2、若系统存在上述漏洞并被攻击后，系统会被如何操作？案例分析02安全漏洞的分类按漏洞成因分类边界条件错误处理逻辑错误对象验证错误环境错误数据验证错误同步错误配置错误其他访问验证错误意外处理错误设计缺陷安全漏洞按照形成原因，可分为以下类别：--《GB∕T33561-2017信息安全技术安全漏洞分类》按漏洞空间分类--《GB∕T33561-2017信息安全技术安全漏洞分类》安全漏洞按空间，可分为以下类别：1应用层2系统层3网络层安全漏洞可处于计算机信息系统的各个层面，应用层漏洞主要来自应用软件或数据的缺陷，如Web程序、数据库软件、各种应用软件等。系统层漏洞主要来自计算机操作系统的缺陷，如桌面操作系统、服务器操作系统、嵌入式操作系统、网络操作系统等。网络层漏洞主要来自网络的缺陷，如网络层身份认证、网络资源访问控制、数据传输保密与完整性、远程接入安全、域名系统安全和路由系统安全等。01020304安全漏洞按时间，可分为以下类别：按漏洞时间分类--《GB∕T33561-2017信息安全技术安全漏洞分类》生成阶段发现阶段利用阶段修补阶段按漏洞时间分类生成阶段在计算机信息系统的分析设计、开发实现、配置运维过程引入缺陷或错误等问题，存在的问题在执行时形成了安全漏洞，可分为以下类别。01.分析设计开发实现配置运维在计算机信息系统的需求分析与设计过程中，由于缺乏风险分析，引用不安全的对象，强调易用和功能、性能使得安全性折中等因素而产生安全漏洞。在计算机信息系统的开发过程中，由于开发人员在技术实现中有意或者无意引入缺陷产生安全漏洞。在计算机信息系统的运行维护过程中，由于运维人员处理计算机信息系统相互关联、配置、结构不当等原因产生安全漏洞。02.发现阶段安全漏洞首次被漏洞发现者、使用者或厂商识别，可分为以下类别。未确认安全漏洞首次被发现，并未给出漏洞资料和可以确认漏洞成因、危害等证据。待确认已确认安全漏洞由漏洞发现者报告厂商或漏洞管理组织，具有漏洞分析报告或能够重现漏洞的场景。安全漏洞由漏洞发现者、使用者或厂商正式确认或者发布，具有标识与描述等相关信息。按漏洞时间分类利用阶段03.全漏洞按照信息验证、公开、利用及信息扩散范围，可分为以下类别：未验证验证未公开公开安全漏洞没有可验证的方法，其成因、危害不可重现。安全漏洞已有可验证的方法，其成因、危害可被重现。安全漏洞相关信息未向公众发布，扩散范围有限。安全漏洞的相关信息已向公众发布。按漏洞时间分类04.修补阶段安全漏洞按照修补状态，可分为以下类别：未修补临时修补正式修补漏洞发现后，尚未进行任何修补。漏洞发现后，采用临时应急修补方案，该方案可能会以损失功能性为代价，但漏洞并未得到实际修补。漏洞发现后，经测试确认并提供修补方案或补丁程序，保证计算机信息系统的正常使用。按漏洞时间分类03安全漏洞的发展趋势漏洞挖掘利益化发现者从最初的好奇与技术炫耀逐渐向有强大经济利益推动的产业化方向发展。据统计，95%的APT攻击均为利益驱使（如：勒索软件）。大部分企业被黑客窃取的数据信息，会被放到黑市上售卖（如：暗网）。利益化趋势“暗网”某交易平台正在出售数据一个漏洞信息或是补丁被发布后，会立即引来攻击者对其进行分析与研究，从而导致利用脚本很快出现。当某种利用方案被公开或开始传播之后，通常也会立即被分析，从而导致漏洞信息的公开与发布。漏洞的利用更加迅速ApacheLog4j2远程执行代码漏洞被披露仅11天后，已有攻击者利用此漏洞成功攻击比利时国防部计算机网络。Log4j2漏洞事件演进时间线根据国家信息安全漏洞库(CNNVD)的统计资料，传统软硬件厂商漏洞数量居高不下，移动系统漏洞数量持续增长。软硬件安全漏洞的数量日益增长信息安全产品自身漏洞频繁出现知名杀毒软件、安全防护软件连续爆出严重漏洞，安全软件不安全任天行网络安全管理系统内置报表存在任意文件下载漏洞(CNVD-2021-46911)奇安信天擎终端安全管理系统存在前台SQL注入漏洞(CNVD-2021-32799)McAfee、卡巴斯基、Sophos、Eset、RAV本章介绍了安全漏洞的