安全無小事！唯有不放過每一個(gè)針尖大的漏洞，才能將所有風(fēng)險(xiǎn)消除在萌芽狀態(tài)。

日前，綠盟科技發(fā)布《漏洞發(fā)展趨勢報(bào)告》（以下簡稱《報(bào)告》），以NVD為數(shù)據(jù)源，對1999－2019年的漏洞數(shù)據(jù)進(jìn)行回顧分析，結(jié)合綠盟威脅情報(bào)中心（NTI）監(jiān)測到的漏洞利用攻擊事件，總結(jié)了20年來漏洞研究及利用的趨勢，情況不容樂觀。

綠盟科技威脅情報(bào)與網(wǎng)絡(luò)安全實(shí)驗(yàn)室高級(jí)技術(shù)總監(jiān)、天樞實(shí)驗(yàn)室負(fù)責(zé)人范敦球在接受C114采訪時(shí)表示，漏洞安全形勢非常嚴(yán)峻，2019年的漏洞數(shù)量同比1999年，增長了9．62倍。同時(shí)，范敦球指出，5G時(shí)代漏洞存于兩大“風(fēng)險(xiǎn)區(qū)”。

漏洞數(shù)量激增9．6倍：“安全左移”成藥方

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，全球互聯(lián)網(wǎng)體量急速膨脹，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，國家政治、經(jīng)濟(jì)、 文化、社會(huì)及公民在網(wǎng)絡(luò)空間的合法權(quán)益面臨嚴(yán)峻挑戰(zhàn)。近些年來安全漏洞數(shù)量呈現(xiàn)遞增趨勢，基于漏洞的網(wǎng)絡(luò)安全事件層出不窮，為我們敲響了信息安全攻防戰(zhàn)的警鐘。

軟件由于開發(fā)及設(shè)計(jì)等各方面的原因，存在漏洞在所難免。對安全研究人員來說，通過對漏洞發(fā)展 趨勢的研究，可以在攻擊者利用漏洞造成危害之前，提出及時(shí)有效的修補(bǔ)方案，盡可能的減少攻擊事件的發(fā)生。對軟件開發(fā)商來說，通過對漏洞的研究，可以幫助開發(fā)人員把更多的精力放在安全開發(fā)過程中需要注意的關(guān)鍵技術(shù)上，開發(fā)出高質(zhì)量的軟件。

《報(bào)告》數(shù)據(jù)顯示，截至2019年底，NVD數(shù)據(jù)庫共收錄漏洞信息138909條。2019年的漏洞數(shù)量同比1999年，增長了9．62倍。這也意味著，漏洞安全形勢非常嚴(yán)峻。

數(shù)據(jù)來源：綠盟科技《漏洞發(fā)展趨勢報(bào)告》

“軟件及其系統(tǒng)中的漏洞是導(dǎo)致信息安全問題的根源所在，如何減少安全漏洞已經(jīng)成為了信息安全從 業(yè)人員的熱門話題�！狈抖厍蛑赋�，“從目前看來，這一愿景與漏洞數(shù)量逐年增長的趨勢相悖�！薄堵┒窗l(fā)展趨勢報(bào)告》指出，目前漏洞發(fā)展呈現(xiàn)了九大趨勢：

漏洞數(shù)量呈現(xiàn)顯著增長的總體趨勢；操作系統(tǒng)被公開的漏洞中，開源操作系統(tǒng)占比相對更高，其安全性問題可能暴露的更充分；根據(jù)綠盟威脅情報(bào)中心（NTI） 顯示，十年以上高齡漏洞在攻擊事件中占比仍然高。

瀏覽器作為網(wǎng)絡(luò)攻擊的入口，漏洞種類復(fù)雜多樣；利用文件格式漏洞的魚叉式釣魚攻擊已成為網(wǎng)絡(luò)安全的主要威脅之一，此類漏洞利用穩(wěn)定性高，在APT攻擊事件中屢見不鮮；Flash漏洞作為曾經(jīng)的研究焦點(diǎn)，今后一段時(shí)間內(nèi)，F(xiàn)lash漏洞并不會(huì)徹底消亡，還需繼續(xù)關(guān)注。

與此同時(shí)，隨著開源軟件開發(fā)模式的興起，針對軟件供應(yīng)鏈的攻擊成為面向軟件開發(fā)人員和供應(yīng)商的一種新興威脅；近些年來社會(huì)各界對移動(dòng)應(yīng)用的漏洞關(guān)注度逐漸提高；物聯(lián)網(wǎng)設(shè)備數(shù)量增長迅速，設(shè)備廠商應(yīng)該重視并加強(qiáng)自身產(chǎn)品的安全。

面對如此嚴(yán)峻的發(fā)展趨勢，企業(yè)又將如何避免安全漏洞安全的出現(xiàn)呢？對此，范敦球認(rèn)為，“安全左移”可以從源頭上盡量減少漏洞的產(chǎn)生�！鞍踩�左移”就是在軟件開發(fā)、甚至設(shè)計(jì)的過程中就開始關(guān)注安全，將安全作為軟件的一個(gè)功能、屬性進(jìn)行考慮，而不是附屬。

網(wǎng)絡(luò)安全的本質(zhì)是攻與防的對抗，未知攻焉知防，只有在了解了各種攻擊技術(shù)和手段后才能采取更加有效的防御策略，從而避免安全事件的發(fā)生。

“當(dāng)前的項(xiàng)目開發(fā)中，不少項(xiàng)目都是先進(jìn)行生產(chǎn)功能的實(shí)現(xiàn)，測試生產(chǎn)功能沒有問題后，直接上線或者再考慮一些邊界安全問題。這樣的問題在于，雖然可以通過對程序的輸入進(jìn)行嚴(yán)格的校驗(yàn)，避免攻擊的發(fā)生。但是程序內(nèi)部中的一些邏輯問題及潛在的安全問題都沒有機(jī)會(huì)被發(fā)現(xiàn)，一旦被外部攻擊者或用戶有意或無意的觸發(fā)，將造成直接影響�！狈抖厍驈�(qiáng)調(diào)，只有將安全作為軟件的固有功能和屬性從設(shè)計(jì)之初就加以考慮的話，可以部分避免安全漏洞的出現(xiàn)。