2018已走,2019到来,我们带着什么样的思考进入未来?全球范围内爆发的重大漏洞,是偶然还是规律,在讲述着什么呢?
Ghostscript屡曝沙盒绕过漏洞,使得一张图片攻陷服务器变成可能。
BleedingBit蓝牙芯片远程代码执行漏洞,化身藏在无线AP里的幽灵。
Kubernetes权限提升漏洞,堪称窃取容器编排的钥匙。
ThinkPHP5远程代码执行漏洞,成为PHP开发者的梦魇。
……
平均每家企业/机构出现中高危漏洞的数量约为15.5个。
全部Web漏洞中业务逻辑漏洞数量最多,XSS漏洞、敏感信息泄露分列二三位。
不安全的ATS配置和访问控制不当是iOS客户端中出现频率最高的隐患,而在Android系统中,业务逻辑漏洞则是最为常见的问题类型。
相较其他行业,金融行业的漏洞数量最多,平均每家企业/机构存在漏洞38.8个。
……
2018年,世界范围内产生了哪些具有代表性的严重漏洞?
企业的业务系统面临怎样的安全威胁?
暗网屡次售卖隐私数据,数据泄露到底有多严重?
网络安全等级保护2.0有哪些变化?
怎样解读欧盟正式启用的通用数据保护条例?
全国各地掀起了一股攻防演练的热潮,究竟是怎么回事?
步入云时代,虚拟机逃逸究竟是科幻还是现实?
千里之堤,溃于蚁穴。从应用程序、开发框架、底层组件,到操作系统、网络设备、虚拟化产品,形形色色、大大小小的漏洞,为服务器失守、数据泄露等安全事件埋下祸根,也将攻防博弈推到了新高度。
国家层面,网络安全在全球范围内愈加受到重视。欧盟正式启用了“史上最严”通用数据保护条例GDPR;随着《中华人民共和国网络安全法》的正式实施,网络安全等级保护逐渐进入“等保2.0”时代。
企业层面,除了上设备、上系统、做测试,在人员能力方面,全国上下掀起了一股攻防演练的热潮,以多维度、进一步评估防护效果。
变了吗?没变吗?今天的攻击手段,似乎并未突破历史框架,但又分明在技术演进中找到了新的战场,比如云计算时代的虚拟机逃逸。
2018年,长亭科技安全研究实验室的f1yyy在GeekPwn上演示了VMware ESXi虚拟机逃逸,这是全球范围内针对ESXi的首次逃逸;微软安全工程师Jordan Rabet在BlackHat上首次演示了Hyper-V逃逸。过去十年,在攻防对抗的研究浪潮里,主流的虚拟化软件KVM、Xen、VMware、VirtualBox、HyperV无一幸免。不得不说,虚拟机逃逸已成为云计算时代令人闻风丧胆的重大安全威胁之一,需要行之有效的解决方案。
随着技术本身更高效、可扩展、无限变形,网络安全势必会持续的、不可避免的融入各个领域。不论是我们今天讨论的攻击方式、漏洞或工具,还是政府从监管角度、企业从自训角度提升安全水平从而防止信息泄露,一件已经避不开的事情就是:变革本身在提速。
企业安全建设是一项长期博弈的工作,而安全攻防博弈归根结底是知识的博弈。在变革已经提速的背景下,只有不断了解攻防动态,扩充知识库,才能避免被黑客降维打击。
对于这些观察,如同过去一年发布的系列《季度漏洞观察报告》一样,我们并不着急结论其为趋势,而是尝试着看到事件本身背后的东西,从微观世界中持续总结规律。
新的一年,网络安全从业者的队伍应该还会持续扩大,网络安全也必定会持续不断的带来新的惊喜。尽管你我都不知道2019年还会发生什么,但有心人总能够寻见端倪。
更多信息安全资讯
联系客服