0Day漏洞利用供需關係變化 未來通過社會工程發起的攻擊增加
E安全4月28日訊基本經濟學告訴我們:供需關係,供不應求,價格上漲。漏洞價格同樣遵循這樣的經濟原理。
安全公司賽門鐵克在一份研究中指出,過去三年,0day漏洞利用數量連續下降,從而推高了零日漏洞利用的價格,攻擊者不得不選擇可替代攻擊的策略。被利用的0day漏洞(這裡指的是未向廠商披露和修復的軟體漏洞)總量從2014年的4985降低到2016年的3986。
儘管如此0day漏洞的需求仍呈上升趨勢。各方都在購買安全研究人員發現的0day零洞,包括軍方、情報機構、執法機構、軟體廠商、網路犯罪分子和軍事承包商。這些買家的目的各異:一些意在修復並防禦軟體,而另一些則希望通過漏洞實施網路攻擊行動。
無論買方動機如何,如果能達成交易,其意義也會日益凸顯。賽門鐵克的凱文-哈利表示,如果攻擊者發現一些可利用的漏洞,其體現的價值會更大。
NSA前計算機網路利用分析師布萊克-達奇表示,由於大型廠商(包括微軟、蘋果等公司)已經在高度重視修復平台內的漏洞,0day漏洞數量因此減少,這一舉措牽連到「圈內」當前可供利用的0day漏洞價格上漲。
但從防禦的角度來看,大多數企業都力爭儘快修復已知漏洞,以防止遭遇破壞性網路攻擊。
漏洞懸賞平台HackerOne首席技術兼聯合創始人亞力克斯-賴斯表示,常用軟體產品,例如Microsoft
Windows、Adobe Flash
player和Chrome瀏覽器的安全性通常更佳,能被大肆利用的可能性較小。這並不意味著這些軟體產品存在的漏洞少,而只是專家的水平在提高,而漏洞利用的成本也在上漲。
漏洞被利用的幾率變小
除了Google、Microsoft、Apple等大型軟體廠商取得的安全成果以外,漏洞懸賞計劃也開闢了新的合法途徑,從而將利益驅使動機轉化為負責任的披露。越來越多的研究人員通過尋找漏洞獲取報酬。因此,尋找可利用的漏洞變得比以往更加困難。
例如,過去一年在HackerOne上有約2萬個0day漏洞被發現,且大多是私下披露並解決的。賽門鐵克統計的0day漏洞不包含這些漏洞,因此數量相對較少。
賴斯表示,要在2017年將漏洞利用「武器化」,比兩到三年前難得多。
漏洞懸賞平台BugCrowd的信任與安全負責人傑森-哈迪克斯表示,漏洞價格每年都在穩步上漲。價格因漏洞而異。如果是對伺服器進行遠程代碼執行的0day漏洞,或是一個未知的低信息層漏洞,那麼價格梯度相對較高。有些0day漏洞的價格高達344,880元。這只是一家漏洞懸賞平台上的價格,其它市場的價格更高。國外知名漏洞收購平台Zerodium一個0day漏洞最高報價大約為1035萬。該公司首席執行官2015年在接受採訪時表示,公司每月要向未公開披露漏洞的提交者支付約414萬。他當時預測,到2015年年底,公司每月約要支出690萬。
網路武器交易市場與漏洞懸賞等防禦市場價格懸殊較大,其原因在於:由於要滿足軍事和政府客戶的需求,0day漏洞銷售商具有特定需求。
網路安全公司Luta
Security的創始人兼首席執行官表示,漏洞懸賞平台和其它防禦性比賽給出的價格過低,無法與專門的銷售市場價格競爭。如果漏洞懸賞平台價格與銷售市場價格一樣高,那麼公司就承擔不起全職員工的高額薪資。漏洞市場的槓桿要複雜得多,不止是簡單的價格問題。激勵措施必須具有創造性和獨特性。
未來黑客利用社會工程發起攻擊或呈增長趨勢
考慮到找到0day漏洞的難度加大,攻擊者越來越多地轉向社會工程等不同的策略攻擊目標。
哈利指出,這種趨勢迫使惡意黑客另尋他法,這就是他們選擇使用電子郵件網路釣魚季活動或社會工程攻擊目標的原因。如果操作系統被硬化,如果黑客無法愚弄操作系統,那麼通常會退求其次,愚弄用戶。
賴斯稱,攻擊組織機構最簡單的方式就利用Flash或Windows的漏洞。
對於許多對手而言,攻擊組織機構最簡單的方法通常是從員工和自製軟體下手,因為這些軟體的成熟水平不及知名大公司,例如Google、Microsoft或Adobe。
哈迪克斯表示,0day漏洞價格上漲是好事。他預測,隨著越來越多的企業啟動漏洞懸賞計劃,採用大型廠商採用的安全策略提高防禦水平,這種趨勢未來仍將繼續。
E安全註:本文系E安全官網獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考。
※「ISC」2就網路安全勞動力問題向白宮提交網路安全行政令建議
※亞太90%的企業都不清楚歐盟GDPR數據保護條例
※物聯網惡意軟體Hajime劫持30萬台設備 動機成謎
※監控廠商Retina-X和FlexiSpy約13萬人信息泄露
TAG:E安全 |
※攻擊者如何使用常見的MDM功能對iOS設備發起攻擊
※新的AndroRAT變種正在利用過期的Root漏洞伺機發起攻擊
※黑客試圖利用尚未修補的Drupal站點發起攻擊
※Google Maps 正灰度測試新功能,允許用戶發起公開活動
※物聯網將發起商業變革浪潮 我們需要積極主動為變革做準備
※「海蓮花」團伙近期利用Office漏洞發起高頻攻擊
※空軍研究實驗室發起「精確實時交戰作戰識別感測器開發」計劃,通過多源數據融合提高遠程目標識別能力
※快應用時代到來!九大手機廠商發起的快應用項目正在改變格局
※劉作虎發起用戶調查 一加7或採用升降鏡頭
※Mirai變種殭屍網路預警:針對金融行業發起大規模DDoS攻擊
※體驗5G唾手可得 OPPO聯合發起熱議話題
※Mirai變種將發起新一波的DDoS攻擊 目標鎖定金融機構
※模特聯盟發起「尊重」計劃,想用更有效的方式制止性騷擾
※MacBook Pro 用戶發起請願,要求蘋果召回有缺陷的鍵盤
※利用sslstrip對HTTPS連接發起中間人攻擊
※蘋果向高通發起反擊?狀告高通違背反壟斷法 損害供應商與消費者的利益
※她@經濟 | 美國將對加拿大汽車業發起核打擊!關稅大漲10倍!
※發動戰爭需要聯合國批准,但也有例外,有種戰爭可以直接發起進攻
※高通再對蘋果發起「專利大戰」,這幾款iPhone被禁售啦!
※Macbook Pro蝴蝶式鍵盤設計有缺陷,用戶發起請願望蘋果召回