披露的双刃剑效应
|
网络安全行业,无论是新发现的漏洞还是不断演变的网络威胁,我们信奉的理念都是快速共享信息,目的是促使受影响的服务提供商(硬件或软件)立即采取行动,及时修复漏洞。 而当我们从拉长时间线,从宏观上来看漏洞披露的影响,会发现它是一枚双刃剑——“及时修复”与“恶意利用”在博弈。 过早公布漏洞不是一件好事 披露漏洞的途径有很多,消息往往以迅雷不及掩耳之势传播。对先前未知的问题进行过早的“全面披露”会催生邪恶力量的萌芽——黑客通常比服务提供商的IT团队行动更快。 一个著名的例子就是Mirai僵尸网络,该僵尸网络在2016年攻击了美国的联网设备,使美国多个城市的互联网瘫痪。实际上最初,它是用于对Telnet的嵌入式监听设备进行暴力攻击。后来,Mirai源代码被发布到开源社区,产生了模仿版本,用于对通过SecureShell(SSH)的监听硬件进行暴力攻击。为了提高入侵率,这些攻击利用了安全性较弱的物联网(IoT)设备中的多种漏洞。
如今,Mirai变体仍然对嵌入式Linux系统构成持续不断的威胁。下图展示了Mirai所带来的威胁走势。直到2019年6月,Mirai的变体仍然持续出现。 较不错的方法是在幕后进行负责任的披露。在指定的时间段(通常为90或120天)之后发布公告,从而使受影响的服务提供商有足够时间来开发有效的补丁或修复程序,并将其提供给客户。 举一个正面的例子,Drupalgeddon是一个SQL注入漏洞,它针对免费的开源Drupal内容管理框架。2018年,一位研究人员发现了该漏洞的两个类似的高危变体,分别为Drupalgeddon 2和3。他负责任地将该漏洞私下告知服务提供商,让他们有时间在漏洞利用细节公开之前开发并发布补丁。 修复补丁发布后,研究人员于2018年4月12日至25日公布了漏洞利用的细节。下图展示了该漏洞的威胁趋势,可以看到,漏洞利用的威胁在2018年4月和5月激增,但随后,迅速消退直至平息,主要原因是及时的补丁修复流程减少了可用目标的数量。 (编辑:南通站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
