近日,Trustworthy Computing发布了新的报告,调查了微软缓解安全漏洞的措施在安全问题上的影响。这份报告基在过去七年间微软通过安全升级处理过的被黑客利用的漏洞的研究。这一研究专注于评估各种被黑客利用的漏洞的类型,被攻击的产品的版本和被黑客使用的漏洞利用手段在过去的趋势。
这份报告中有几个关键,被称作软件漏洞的利用方法,包括:
每年已知可以利用的远程代码执行漏洞(RCE)数量正在下降。
漏洞最经常在安全补丁发布之后才被利用。尽管这些年在安全补丁发布之前就被利用起来的漏洞的百分比有所增加。
图1:在补丁发布之前和之后被利用的CVE漏洞所占的百分比
堆栈溢出漏洞曾经是最常见的漏洞利用类别。但是现在已经很少了。堆栈溢出漏洞的使用率从2006年的43%下降到了2012年的7%。
图2:已知可以被利用的CVE漏洞的类别分布
释放后使用(Use-After-Free)漏洞现在是最常见的漏洞利用类别。
漏洞利用越来越依赖于能绕开数据执行保护(DEP)和地址空间布局随机化(ASLR)的技术。
图3:通过各种不同的技术利用的CVE漏洞的数量
这个研究中还有大量数据,可以帮我们理解使漏洞利用变得更加困难的因素。这份基于该研究的报告为我们提供了如何减少被入侵的可能性和管理风险的具体建议。
我们建议机构中负责管理风险的人士阅读这篇论文。
你可能会好奇我们为什么进行这样一个研究。我认识的许多客户都对使用软件漏洞的数量来评估他们的软件供应商在开发严重漏洞更少的软件上的进步的方法感兴趣。我们在微软安全情报报告(SIR)中发布各种漏洞数量统计,但是这样的数据似乎意味着各种漏洞带来的风险是相同的。当我们仔细研究那些真的被攻击者利用的类别和它们是如何被利用的时候。我们能更直观的看到正在发生的趋势,和如何高效的管理相关风险。
这次研究是由微软安全工程中心(MSEC)和微软安全响应中心(MSRC)进行的。MSEC有着业内最先进的安全科学团队。安全科学团队能够在以下三个方面帮助到客户:
帮助发现软件漏洞
开发程序员应该接受的漏洞缓解技术和工具。安全科学团队的研究成果通常会提供微软安全开发流程(SDL),一种每个微软产品开发中都需要强制执行的过程。目标是使每个操作系统、浏览器和应用程序的新版本都比之前的版本更难攻击,让攻击者的恶意攻击都更加困难和需要更高成本。
在威胁环境中持续监测威胁趋势和活动,并且将学到的新技术用来改进微软的工具和流程。当测定到新威胁进入到生态系统中时,MSRC和微软响应流程会马上运作起来。
本文来自微软可信计算的主管Tim Rains的文章《The Impact of Security Science in Protecting Customers》。
