3.1 安全漏洞的產(chǎn)生與發(fā)展

第1節(jié)安全漏洞的產(chǎn)生與發(fā)展第3章目

錄01安全漏洞的概念02安全漏洞的分類03安全漏洞的發(fā)展趨勢01安全漏洞的概念什么是安全漏洞？安全漏洞定義計算機信息系統(tǒng)在需求、設(shè)計、實現(xiàn)、配置、運行等過程中，有意或無意產(chǎn)生的缺陷。這些缺陷以不同形式存在于計算機信息系統(tǒng)的各個層次和環(huán)節(jié)之中，一旦被惡意主體所利用，就會對計算機信息系統(tǒng)的安全造成損害，從而影響計算機信息系統(tǒng)的正常運行。 --《GB/T28458--2012信息安全技術(shù)安全漏洞標識與描述規(guī)范》安全漏洞的危害被攻擊者植入惡意代碼信息被竊取造成病毒傳播，危害其他主機常見的安全漏洞軟件層面硬件層面應(yīng)用軟件漏洞系統(tǒng)軟件漏洞操作系統(tǒng)漏洞Web漏洞、APP漏洞CVE-2019-5736、CVE-2021-44832MS17-010、CVE-2019-0708、CVE-2020-0796物理計算機鼠標USB接收器主機接口漏洞、物理環(huán)境漏洞Razer鼠標本地權(quán)限升級（LPE）漏洞LogitechUnifyingUSB接收器漏洞（CVE-2019-13054）CVE簡介什么是CVE？01.CVE（通用漏洞披露）=CommonVulnerabilitiesandExposures，是一個安全項目，它由美國國土安全部資助，Mitre公司進行維護主要關(guān)注公開發(fā)布的軟件漏洞。02.03.04.05.一旦漏洞被記錄下來，Mitre就會為其提供一個唯一的ID。具體某一個漏洞的編號：CVE+年份+4位隨機數(shù)字(也有5位數(shù)字的情況)。如：CVE-2018-7600CVE可以從商業(yè)編號機構(gòu)（非政府機構(gòu)）獲取其數(shù)字ID，這些機構(gòu)將編號用于其自身的產(chǎn)品中以便發(fā)現(xiàn)漏洞和風險。現(xiàn)在的安全工具，比如漏掃，都支持或者兼容CVE漏洞，就是CVE里有的漏洞，它都能作為漏洞庫進行檢測。CVE特點CVE的特點50為每個漏洞和暴露確定了唯一的名稱給每個漏洞和暴露一個標準化的描述不是一個數(shù)據(jù)庫，而是一個字典任何完全迥異的漏洞庫都可以用同一個語言表述由于語言統(tǒng)一，可以使得安全事件報告更好地被理解，實現(xiàn)更好的協(xié)同工作可以成為評價相應(yīng)工具和數(shù)據(jù)庫的基準非常容易從互聯(lián)網(wǎng)查詢和下載安全漏洞產(chǎn)生的原因1、技術(shù)原因軟件系統(tǒng)規(guī)模的迅速膨脹及內(nèi)部結(jié)構(gòu)的日益復(fù)雜，直接導(dǎo)致軟件系統(tǒng)復(fù)雜性的提高，使軟件系統(tǒng)質(zhì)量難以控制，安全性降低。2、經(jīng)濟原因軟件系統(tǒng)開發(fā)過程需要研發(fā)人員投入大量的人力和物力。軟件開發(fā)過程中考慮的安全問題越多，需要投入的人數(shù)就會越多，成本就會越高。因此從經(jīng)濟的角度考慮，軟件系統(tǒng)開發(fā)的過程不可避免的會引入安全漏洞。安全漏洞產(chǎn)生的原因3、環(huán)境原因4、安全缺陷軟件系統(tǒng)的運行環(huán)境發(fā)生了改變。從傳統(tǒng)的封閉、靜態(tài)和可控變?yōu)殚_放、動態(tài)和難控。在這樣的應(yīng)用環(huán)境下，不僅會產(chǎn)生更多的漏洞類型和數(shù)量，而且漏洞產(chǎn)生的危害和影響要遠遠超過在非網(wǎng)絡(luò)或同構(gòu)網(wǎng)絡(luò)環(huán)境下的漏洞的危害和影響程度。安全缺陷是軟件、硬件或協(xié)議在開發(fā)維護和運行使用階段產(chǎn)生的安全錯誤實例。安全缺陷存在于軟件系統(tǒng)生命周期的各個階段。2021年12月10日凌晨，被全球廣泛應(yīng)用的組件ApacheLog4j被曝出一個高危漏洞，攻擊者僅需一段代碼就可遠程控制受害者服務(wù)器。經(jīng)專家研判，該漏洞影響范圍極大，且利用方式十分簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞，使攻擊者可以遠程控制用戶受害者服務(wù)器，90%以上基于java開發(fā)的應(yīng)用平臺都會受到影響，全球范圍內(nèi)的大多數(shù)科技公司都可能會受到影響，如百度、蘋果公司等。1、上述案例屬于什么攻擊類型？2、若系統(tǒng)存在上述漏洞并被攻擊后，系統(tǒng)會被如何操作？案例分析02安全漏洞的分類按漏洞成因分類邊界條件錯誤處理邏輯錯誤對象驗證錯誤環(huán)境錯誤數(shù)據(jù)驗證錯誤同步錯誤配置錯誤其他訪問驗證錯誤意外處理錯誤設(shè)計缺陷安全漏洞按照形成原因，可分為以下類別：--《GB∕T33561-2017信息安全技術(shù)安全漏洞分類》按漏洞空間分類--《GB∕T33561-2017信息安全技術(shù)安全漏洞分類》安全漏洞按空間，可分為以下類別：1應(yīng)用層2系統(tǒng)層3網(wǎng)絡(luò)層安全漏洞可處于計算機信息系統(tǒng)的各個層面，應(yīng)用層漏洞主要來自應(yīng)用軟件或數(shù)據(jù)的缺陷，如Web程序、數(shù)據(jù)庫軟件、各種應(yīng)用軟件等。系統(tǒng)層漏洞主要來自計算機操作系統(tǒng)的缺陷，如桌面操作系統(tǒng)、服務(wù)器操作系統(tǒng)、嵌入式操作系統(tǒng)、網(wǎng)絡(luò)操作系統(tǒng)等。網(wǎng)絡(luò)層漏洞主要來自網(wǎng)絡(luò)的缺陷，如網(wǎng)絡(luò)層身份認證、網(wǎng)絡(luò)資源訪問控制、數(shù)據(jù)傳輸保密與完整性、遠程接入安全、域名系統(tǒng)安全和路由系統(tǒng)安全等。01020304安全漏洞按時間，可分為以下類別：按漏洞時間分類--《GB∕T33561-2017信息安全技術(shù)安全漏洞分類》生成階段發(fā)現(xiàn)階段利用階段修補階段按漏洞時間分類生成階段在計算機信息系統(tǒng)的分析設(shè)計、開發(fā)實現(xiàn)、配置運維過程引入缺陷或錯誤等問題，存在的問題在執(zhí)行時形成了安全漏洞，可分為以下類別。01.分析設(shè)計開發(fā)實現(xiàn)配置運維在計算機信息系統(tǒng)的需求分析與設(shè)計過程中，由于缺乏風險分析，引用不安全的對象，強調(diào)易用和功能、性能使得安全性折中等因素而產(chǎn)生安全漏洞。在計算機信息系統(tǒng)的開發(fā)過程中，由于開發(fā)人員在技術(shù)實現(xiàn)中有意或者無意引入缺陷產(chǎn)生安全漏洞。在計算機信息系統(tǒng)的運行維護過程中，由于運維人員處理計算機信息系統(tǒng)相互關(guān)聯(lián)、配置、結(jié)構(gòu)不當?shù)仍虍a(chǎn)生安全漏洞。02.發(fā)現(xiàn)階段安全漏洞首次被漏洞發(fā)現(xiàn)者、使用者或廠商識別，可分為以下類別。未確認安全漏洞首次被發(fā)現(xiàn)，并未給出漏洞資料和可以確認漏洞成因、危害等證據(jù)。待確認已確認安全漏洞由漏洞發(fā)現(xiàn)者報告廠商或漏洞管理組織，具有漏洞分析報告或能夠重現(xiàn)漏洞的場景。安全漏洞由漏洞發(fā)現(xiàn)者、使用者或廠商正式確認或者發(fā)布，具有標識與描述等相關(guān)信息。按漏洞時間分類利用階段03.全漏洞按照信息驗證、公開、利用及信息擴散范圍，可分為以下類別：未驗證驗證未公開公開安全漏洞沒有可驗證的方法，其成因、危害不可重現(xiàn)。安全漏洞已有可驗證的方法，其成因、危害可被重現(xiàn)。安全漏洞相關(guān)信息未向公眾發(fā)布，擴散范圍有限。安全漏洞的相關(guān)信息已向公眾發(fā)布。按漏洞時間分類04.修補階段安全漏洞按照修補狀態(tài)，可分為以下類別：未修補臨時修補正式修補漏洞發(fā)現(xiàn)后，尚未進行任何修補。漏洞發(fā)現(xiàn)后，采用臨時應(yīng)急修補方案，該方案可能會以損失功能性為代價，但漏洞并未得到實際修補。漏洞發(fā)現(xiàn)后，經(jīng)測試確認并提供修補方案或補丁程序，保證計算機信息系統(tǒng)的正常使用。按漏洞時間分類03安全漏洞的發(fā)展趨勢漏洞挖掘利益化發(fā)現(xiàn)者從最初的好奇與技術(shù)炫耀逐漸向有強大經(jīng)濟利益推動的產(chǎn)業(yè)化方向發(fā)展。據(jù)統(tǒng)計，95%的APT攻擊均為利益驅(qū)使（如：勒索軟件）。大部分企業(yè)被黑客竊取的數(shù)據(jù)信息，會被放到黑市上售賣（如：暗網(wǎng)）。利益化趨勢“暗網(wǎng)”某交易平臺正在出售數(shù)據(jù)一個漏洞信息或是補丁被發(fā)布后，會立即引來攻擊者對其進行分析與研究，從而導(dǎo)致利用腳本很快出現(xiàn)。當某種利用方案被公開或開始傳播之后，通常也會立即被分析，從而導(dǎo)致漏洞信息的公開與發(fā)布。漏洞的利用更加迅速ApacheLog4j2遠程執(zhí)行代碼漏洞被披露僅11天后，已有攻擊者利用此漏洞成功攻擊比利時國防部計算機網(wǎng)絡(luò)。Log4j2漏洞事件演進時間線根據(jù)國家信息安全漏洞庫(CNNVD)的統(tǒng)計資料，傳統(tǒng)軟硬件廠商漏洞數(shù)量居高不下，移動系統(tǒng)漏洞數(shù)量持續(xù)增長。軟硬件安全漏洞的數(shù)量日益增長信息安全產(chǎn)品自身漏洞頻繁出現(xiàn)知名殺毒軟件、安全防護軟件連續(xù)爆出嚴重漏洞，安全軟件不安全任天行網(wǎng)絡(luò)安全管理系統(tǒng)內(nèi)置報表存在任意文件下載漏洞(CNVD-2021-46911)奇安信天擎終端安全管理系統(tǒng)存在前臺SQL注入漏洞(CNVD-2021-32799)McAfee、卡巴斯基、Sophos、Eset、RAV本章介紹了安全漏洞的