2011年,网络攻击者针对企业成功发起了众多网络攻击,然而一个常见的攻击载体——利用软件漏洞进行攻击的数量却下降了。
根据那些收集漏洞信息公司提供的相关数据来看,与去年相比,公开披露的漏洞数量在2011年明显下降,少得多的漏洞被网络攻击者利用。
例如,根据赛门铁克的相关数据,我们有望看到今年披露的软件漏洞总数下降30%,而向公众发布的关键漏洞总数下降10%。每年公司通常会记录下4500—5500的漏洞数量,虽然2010年公布的漏洞数量达到了6253个,超出平常水平。赛门铁克发现今年是6年来报告的漏洞的最低水平。IBM的X – Force安全研究团队已经看到了类似的趋势。
赛门铁克安全信息经理Joshua Talbot表示,漏洞数量减少的原因可能是诸如微软和Adobe这些公司更加注重消除那些易于查找的漏洞。他说:“如果攻击者知道某个特定平台的安全漏洞没那么容易找,攻击者可能会决定不采取这一途径。”
此外,因为Windows、Linux、Mac OS X及运行在这些平台上的众多应用程序已经根据安全特性进行了重建,攻击者可能也会因为更加难以找到可利用的漏洞而停止采用这种攻击方法。尽管攻击者继续把重点放在在Adobe Acrobat、Oracle的Java以及微软的Office中寻找漏洞,安全研究人员已经投入更多精力在审计更利基的软件上,这些软件包括工业控制系统,汽车系统和移动设备。
Talbo表示,“很难说研究人员和网络攻击者的行动方向究竟是基于什么样的动机。但也有可能是攻击者私下利用了漏洞,却不公布这些漏洞。”
以Adobe为例。研究人员2008年开始关注这个公司,接下来的几年中被公布的Adobe的漏洞数量持续上升,并在2010年达到高峰。然而,今年以来,该公司是被披露的漏洞数量显著下降。Flash Player的漏洞数量减少了一半,Acrobat的漏洞数量下降了三分之二,据Adobe安全高级管理经理Brad Arkin介绍。Arkin表示:“使寻找漏洞并利用之的成本更为高昂是我们工作的宗旨。”
微软的数据也证实了这一趋势。2011年,微软软件的关键漏洞数量下降到六年来的最低水平。此外,微软2011年发布99个公告,低于2010年的106。从绝对数字上看,这意味着自2005年以来微软关键漏洞的最低水平。
微软安全响应中心的高级主管Mike Reavey 在一篇博客中对该数据进行了评论:“我们看到关键漏洞和公告比例一年一年的减少,这表明产品组在创建更安全的软件的工作中取得了很大的进展。”
自从在2002年1月开启其可信赖计算计划(Trustworthy Computing Initiative),微软一直专注于减少其软件的漏洞数量,提高其开发进度,并使其操作系统和应用程序更难被攻击者利用。最新的数据显示公司已经取得了很大的成效。
然而,主要的软件平台和应用对于安全的关注将使这些软件更难被攻击者利用,研究者也开始转向那些缺乏严格审批的其他系统,如汽车应用程序中的嵌入式系统、工业控制系统和医疗器械。漏洞管理公司Qualys的首席技术官Wolfgang Kandek认为,随着越来越多的设备接入互联网中,攻击者将发现针对这些设备的攻击方法。他说:“我们正在以如此快速的步伐将众多设备接入到互联网中,这将会有更多的漏洞存在。”