我国网站高危漏洞去年激增80% 修复率仅为42.9%
近日,360互联网安全中心发布《2016年中国网站安全漏洞形势分析报告》称,过去一年360网站安全检测平台扫描发现网站高危漏洞480.8万次,较2015年267.7万次大幅增长80%,平均每月扫出高危漏洞约45.8万次。
面对激增的高危漏洞,修复情况却不容乐观:根据对2016年补天平台的备案网站漏洞的抽样调查,网站漏洞的平均修复率仅为42.9%,超过半数的网站漏洞被置之不理,存在巨大的数据泄露风险。
漏洞可能致数十亿信息被泄露 网站安全防护将成为未来重点
报告显示,在2016年,360网站安全检测平台共扫描各类网站197.9万个,发现存在漏洞的网站91.7万个,占比为46.3%,比2015年略有下降。漏洞网站数量下降,但高危漏洞数量大幅增长,这说明,在绝大多数网站已基本不存在可自动检测的高危漏洞的情况下,极少数网站集中出现大量高危漏洞。
网站高危漏洞激增,吸引到更多针对网站漏洞攻击,导致大量信息被泄露。根据360互联网安全中心的统计,2016年360网站卫士共拦截各类网站漏洞攻击17.1亿次,导致大量网站出现数据泄露。如2016年4月Struts2远程代码执行漏洞(s2-032)爆出,很多大型企业网站中招。在360补天平台上提交了大量s2-032远程执行漏洞,包括航空、银行、学校和政府等诸多领域成为本次漏洞的重灾区。
根据补天平台的统计,仅仅2015年收录的漏洞中,就有1400余个漏洞可造成个人信息泄露,可泄露信息规模达55.3亿条;2016年又新收录了300余个可造成个人信息泄露的漏洞,约可泄露个人信息50余亿条。
这些大量泄露的个人信息成为网络欺诈的助推器。在2016年引发广泛关注的山东徐玉玉案中,犯罪分子就是利用窃取的信息,伪装成教育局工作人员发放助学金进行诈骗的。经警方调查,徐玉玉的信息是由于黑客利用漏洞侵入“山东省2016高考网上报名信息系统”网站而获取的。黑客从该网站共窃取60多万条个人信息。
网站安全的重要性已不言而喻。作为互联网的基础设施和互联网产品、服务的重要载体,网站安全是网络空间安全的重要组成。在《国家网络空间安全战略》中,“加强党政机关以及重点领域网站的安全防护”被作为战略任务。
《网络安全法》对保护关键信息基础设施进行了特别强调。上海交通大学信息安全工程学院院长李建华指出,县级(含)以上党政机关网站、重点新闻网站、日均访问量超过100万人次的网站,以及发生网络安全事故后可能造成100万人个人信息泄露的网站,都可认定为关键信息基础设施。
《网络安全法》明确规定,网络产品和服务运营者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,如未立即采取补救措施,需要承担相应的法律责任。
可以预见,随着《网络安全法》在今年的实施,加强网站安全防护将是未来的重要内容。
漏洞修复率仅为42.9% 安全响应仍待提高
面对防不胜防的网站漏洞,及时修复漏洞是防范信息泄露的重要举措,但360互联网安全中心发布的数据显示,在对于网站漏洞的安全响应上,我国政企用户仍存在很大不足。根据对2016年补天平台的备案网站漏洞的抽样调查,网站漏洞的平均修复率仅为42.9%。
更令人担心的是,即使是这些被修复的网站安全漏洞,漏洞修复很不及时。有近2/3的网站,漏洞修复周期过长,修复很不及时(大于7天)。很多漏洞需要数周,甚至近一个月才能得到修复:从修复漏洞所花费的时长看,根据厂商明确标记已修复的网站漏洞中,1天内修复的比例为7.5%; 一周以内修复的比例为27.4%;超过一周但在一个月内修复的比例为33.3%;超过30天才修复的比例为31.8%。
安全专家认为,“这个时候数据可能早已经被窃取。”
针对网站漏洞修复周期较长的原因,360安全专家认为,这主要是由于过去法制监管体系中缺乏安全问责机制、网站管理者自身安全意识和能力不足,以及网站安全需要多方协同联动、缺乏成熟解决方案等原因导致业界对漏洞修复关注不足而造成的。
众测将成未来网站安全防护方向
对于众多的网站运营者来说,人才不足是应对安全漏洞不力的重要原因。目前中国网络安全人才缺口巨大,中国高校培养的信息安全专业毕业生近3年仅3万余人,不足市场需求量70万的5%。
针对网站安全防护的棘手挑战和人才不足的现状,安全专家认为,目前以众测为代表的模式创新、以“端+云”应用感知的协同创新、以开放数据挖掘为代表的威胁新动向,已成为即将到来的2017年,乃至更远的未来web安全技术研究的新趋势。
据了解,众测是以众包的模式将发现漏洞问题的任务分发给白帽,通过严格的审核、特定的加密数据通信通道,为白帽子充分发挥自身力量,高效地帮助目标企业发现潜在安全问题,提供安全、可靠的平台服务。
安全专家认为,众测/众包技术可能是企业强化响应能力的一种必然选择:众测/众包使企业无需自建安全响应中心(SRC),而是可以通过第三方平台提供“SRC即服务”,建立完善专业、高效的安全响应机制。
较早之前纯公益的开放征集漏洞模式,众测是一种完善和升级。目前国内已经有补天平台在内的平台开始安全众测的尝试。相信在安全人才不足的背景下,这一模式可以帮助政企用户解决网站安全问题。