0Day漏洞利用供需關係變化 未來通過社會工程發起的攻擊增加

E安全4月28日訊基本經濟學告訴我們：供需關係，供不應求，價格上漲。漏洞價格同樣遵循這樣的經濟原理。

安全公司賽門鐵克在一份研究中指出，過去三年，0day漏洞利用數量連續下降，從而推高了零日漏洞利用的價格，攻擊者不得不選擇可替代攻擊的策略。被利用的0day漏洞（這裡指的是未向廠商披露和修復的軟體漏洞）總量從2014年的4985降低到2016年的3986。

儘管如此0day漏洞的需求仍呈上升趨勢。各方都在購買安全研究人員發現的0day零洞，包括軍方、情報機構、執法機構、軟體廠商、網路犯罪分子和軍事承包商。這些買家的目的各異：一些意在修復並防禦軟體，而另一些則希望通過漏洞實施網路攻擊行動。

無論買方動機如何，如果能達成交易，其意義也會日益凸顯。賽門鐵克的凱文-哈利表示，如果攻擊者發現一些可利用的漏洞，其體現的價值會更大。

NSA前計算機網路利用分析師布萊克-達奇表示，由於大型廠商（包括微軟、蘋果等公司）已經在高度重視修復平台內的漏洞，0day漏洞數量因此減少，這一舉措牽連到「圈內」當前可供利用的0day漏洞價格上漲。

但從防禦的角度來看，大多數企業都力爭儘快修復已知漏洞，以防止遭遇破壞性網路攻擊。

漏洞懸賞平台HackerOne首席技術兼聯合創始人亞力克斯-賴斯表示，常用軟體產品，例如Microsoft
Windows、Adobe Flash
player和Chrome瀏覽器的安全性通常更佳，能被大肆利用的可能性較小。這並不意味著這些軟體產品存在的漏洞少，而只是專家的水平在提高，而漏洞利用的成本也在上漲。

漏洞被利用的幾率變小

除了Google、Microsoft、Apple等大型軟體廠商取得的安全成果以外，漏洞懸賞計劃也開闢了新的合法途徑，從而將利益驅使動機轉化為負責任的披露。越來越多的研究人員通過尋找漏洞獲取報酬。因此，尋找可利用的漏洞變得比以往更加困難。

例如，過去一年在HackerOne上有約2萬個0day漏洞被發現，且大多是私下披露並解決的。賽門鐵克統計的0day漏洞不包含這些漏洞，因此數量相對較少。

賴斯表示，要在2017年將漏洞利用「武器化」，比兩到三年前難得多。

漏洞懸賞平台BugCrowd的信任與安全負責人傑森-哈迪克斯表示，漏洞價格每年都在穩步上漲。價格因漏洞而異。如果是對伺服器進行遠程代碼執行的0day漏洞，或是一個未知的低信息層漏洞，那麼價格梯度相對較高。有些0day漏洞的價格高達344,880元。這只是一家漏洞懸賞平台上的價格，其它市場的價格更高。國外知名漏洞收購平台Zerodium一個0day漏洞最高報價大約為1035萬。該公司首席執行官2015年在接受採訪時表示，公司每月要向未公開披露漏洞的提交者支付約414萬。他當時預測，到2015年年底，公司每月約要支出690萬。

網路武器交易市場與漏洞懸賞等防禦市場價格懸殊較大，其原因在於：由於要滿足軍事和政府客戶的需求，0day漏洞銷售商具有特定需求。

網路安全公司Luta

Security的創始人兼首席執行官表示，漏洞懸賞平台和其它防禦性比賽給出的價格過低，無法與專門的銷售市場價格競爭。如果漏洞懸賞平台價格與銷售市場價格一樣高，那麼公司就承擔不起全職員工的高額薪資。漏洞市場的槓桿要複雜得多，不止是簡單的價格問題。激勵措施必須具有創造性和獨特性。

未來黑客利用社會工程發起攻擊或呈增長趨勢

考慮到找到0day漏洞的難度加大，攻擊者越來越多地轉向社會工程等不同的策略攻擊目標。

哈利指出，這種趨勢迫使惡意黑客另尋他法，這就是他們選擇使用電子郵件網路釣魚季活動或社會工程攻擊目標的原因。如果操作系統被硬化，如果黑客無法愚弄操作系統，那麼通常會退求其次，愚弄用戶。

賴斯稱，攻擊組織機構最簡單的方式就利用Flash或Windows的漏洞。

對於許多對手而言，攻擊組織機構最簡單的方法通常是從員工和自製軟體下手，因為這些軟體的成熟水平不及知名大公司，例如Google、Microsoft或Adobe。

哈迪克斯表示，0day漏洞價格上漲是好事。他預測，隨著越來越多的企業啟動漏洞懸賞計劃，採用大型廠商採用的安全策略提高防禦水平，這種趨勢未來仍將繼續。

E安全註：本文系E安全官網獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。