年度漏洞威胁分析与安全展望报告

前言 AT THE BEGINNING2020，戏剧化的开年，悲伤的消息几乎将人淹没。在已有一段成长经历的人看起来，这是一个相当有科幻感的年份。然而抽离个体至回顾视角来看，经历了2000的千禧交替，2012的末日之年，我们都还好好的活着。相信当前的阴霾也会很快过去，春暖花开之际，就在不远处。2020，对网络安全来说似乎也是一个轮回之年。刚刚过去的RSAC，其年度主题似乎进入了老生常谈的瓶颈——HumanElement。网络安全热轰轰烈烈绕场几年，各类高级概念频出，各种要求重视的急迫喊话后终究发现，要真正解决问题，还是不得不回归本质。网络安全问题追根溯源，还是解决攻防问题。而真实世界的攻防，无论发生在物理世界，还是网络的虚拟空间，操纵各类系统、数据、应用等等工具的背后因素，终归还是人。这是在具备了同样资源的情况下，能把安全问题解决得高下立见的决定因素。2020，长亭《季度漏洞观察报告》正式更名《漏洞威胁分析报告》，从旁观者视角的定量数据展示，开始逐步走向分析数字背后的意义。更重要的是，基于数字背后的逻辑，梳理安全从业人员的操作方法论，将漏洞关注优先级和修复的经验复制成能力象限，可以帮助企业/机构安全从业人员的部分能力碎片找平水位。积少成多，集腋成裘，也是老生常谈的自我激励，用日拱一卒的态度对待任何问题，期待将漏洞这一网络世界永恒的存在，以更稳妥、更游刃有余的姿势解决。 漏洞视角企业威胁观察 041/1 Web漏洞 041/2 移动端漏洞 08 漏洞威胁应对 112/1 渗透测试，真的是合理需求吗 112/2 自动化扫描，能力边界在哪里 15 203/1 常见攻击路线总结 213/2 防护建议 22 事与人，未来安全的尺度 244/1 全局视角，构建体系化防御思路 244/2 回归本源，探讨网络安全人才培养 28CONTENTS目录上篇：年度漏洞威胁回顾与反思下篇：攻防对抗现状与防御改进031901020304攻击路径概览 A上篇：年度漏洞威胁回顾与反思上篇：年度漏洞威胁回顾与反思我们在以何种网络安全姿态进入2020s？报告上篇围绕“漏洞（Vulnerability）”这一网络安全永恒的关键词，以及人工、自动化工具两类漏洞发现方法进行思考，在分析安全风险的同时，剖析当前各类解决方案的演进和发展。 在被抽样的企业/机构中，Web漏洞安全威胁数量达6000余个。其中，严重与高危漏洞占比高达40.3%，中危漏洞占比25.7%。回顾全年数据，业务逻辑漏洞与越权漏洞 依旧是出现频率最高的漏洞类型，两者合计占到了全年Web漏洞总数的36.0%；此外敏感信息泄露与XSS漏洞数量占比分别为15.2%与13.3%。1.数据来源：CNNVD《信息安全漏洞月通报》2.数据来源：CNVD《漏洞信息月度通报》3. 说明：本质上，越权漏洞也是业务逻辑漏洞中的一种，但由于其漏洞影响较为明确且出现频率较高，故单独列出。1/1 Web漏洞2019年，我国国家级漏洞库平均新增漏洞约一万七千个。国家信息安全漏洞库（CNNVD）共采集17820个，超危与高危漏洞合计约41.1%，中危漏洞占比50.5%；国家信息安全漏洞共享平台（CNVD）共收集整理16208个，高危、中危漏洞依次占比30.2%与59.8%，全部漏洞中合计约有87.4%可用于远程攻击。聚焦至行业案例，2019年全年，长亭科技安全服务团队累计面向金融、互联网、通信、能源、医疗、教育、传媒等多个行业的数百家企业/机构展开研究。本报告抽取其中的223家进行数据统计，试图从企业/机构的安全视角，呈现年度漏洞威胁状况。123漏洞视角企业威胁观察0104年度漏洞威胁分析与安全展望Threat Landscape and Management: An Annual Review of Vulnerabilities 4.出现频率=类别漏洞总数/抽样企业机构总数5.威胁程度=各危害程度漏洞占比*威胁级别赋值求和漏洞出现频率和威胁程度决定响应速度数据来源：长亭科技安全服务团队图1 Web漏洞危害等级首先解决威胁更大的漏洞，还是消除某类数量更多的威胁，是企业安全人员在衡量工作优先级时经常遇到的问题。报告综合考虑了“出现频率”与“威胁程度”两维度水平，绘制了“漏洞威胁象限”，用于展现在2019网络安全环境下的各类漏洞威胁状况，并为企业安全人员在解决各种不同类型漏洞时提供优先级参考。对于四象限中的漏洞类型，报告建议的优先级顺序为：高频*高危>低频*高危>高频*低危>低频*低危。当纳入所有样本的Web漏洞数据，可以看到在经过了长期努力后，对于那些威胁程度较高的漏洞类型，安全人员已将其控制在较低的出现频率；而业务逻辑漏洞与越权漏洞虽出现频率较高，但其威胁程度中等或较低。4505年度漏洞威胁分析与安全展望Threat Landscape and Management: An Annual Review of Vulnerabilities严重高危中危无威胁低危0.8%3.2%25.7%39.5%30.8% 对于SQL注入、弱口令、任意文件操作、命令注入、代码注入这类一旦出现，就很可能会带来高安全风险的漏洞类型，企业安全人员应在发现漏洞后的第一时间采取处置措施，消除安全威胁。以命令注入为例，2019年长亭科技安全服务团队发现的全部此类漏洞中，有81.9%被评定为高危，更有8.2%被定义为严重。在长亭科技采用的定级标准中，高危漏洞通常可导致攻击者直接获取业务敏感数据，且有机会进一步获取业务系统权限，而严重漏洞一般可以被利用直接获取到业务服务器的操作系统权限，甚至威胁企业核心数据。此外，如业务逻辑漏洞、敏感信息泄露、运维不当、越权漏洞等类别，受业务系统的重要程度、部署位置影响，它们能够造成的危害程度不同，风险定级没有明显规律。回顾全年数据，这些漏洞的威胁现状呈图中分布，企业安全人员在日常管理中，可根据具体情况决定响应速度。对于出现频率最高的业务逻辑漏洞，企业仍需在日常的业务上线及巡检过程中加以关注，借助上线前的安全检测以及上线后的定期漏洞扫描来发现和减少此类问题的产生。受利用方式以及漏洞出现位置的多样性影响，XSS漏洞的威胁定级主要集中在中危和低危，仅有少量可以直接被定义为严重和高危。这部分漏洞虽然一般不会构成直接的高风险威胁，但由于其出现频率较高，企业安全人员仍然要加以关注，把此类漏洞的发现和修复作为一项日常工作来推进。此外对于CSRF这类一般情况下危害程度较低，出现频率也较低的漏洞类型，也需纳入日常巡检工作中。06年度漏洞威胁分析与安全展望Threat Landscape and Management: An Annual Review of VulnerabilitiesSSRFXXECSRF运维不当命令注入代码注入任意文件读取文件上传弱口令SQL注入出现频率威胁程度越权XSS业务逻辑漏洞敏感信息泄漏高频x高危低频x高危低频x高危高频x低危图2 长亭科技全行业Web漏洞威胁象限 行业特点的不同，导致其安全风险也存在差异。如在银行、保险、证券、通信等行业占比最大的业务逻辑漏洞，其在政府行业样本的全部Web漏洞中却只占到了5.2%，这可以较大程度上归因于政府网站功能设计和业务特点较为单一，且网站变更不频繁，所以不易发生由设计不当导致的逻辑安全问题。聚焦教育和医疗两个基础行业，我们发现运维不当类问题占比非常高，分别占到了各自Web漏洞的27.1%和34.9%。从统计数据来看，此类行业的基础安全运维仍存改进空间，可能需要增加人力资源投入。针对在信息化和安全建设上投入相对较多的行业中每一类漏洞的威胁现状如何，我们特别面向金融、互联网两个行业进行了漏洞类别威胁分析。从象限图中可以发现，两个行业均不存在高频高危的漏洞类型，此外业务逻辑漏洞和越权漏洞的出现频率均位列前二，它们在象限图中的位置也较为类似，主要是因为两个行业的业务逻辑都存在一定的复杂度。相比金融行业，互联网行业的漏洞类型分布更加集中在低频低危象限，可见互联网行业的整体安全水平要更高一些。金融行业因多采用通用型的成熟框架，受到最近几年反序列化命令执行的影响较大，在威胁程度上以命令注入和命令执行类漏洞为最高，同样位于低频高危象限的其他4个漏洞类型，即代码注入、任意文件读取、SQL注入、弱口令也应当优先关注。互联网行业多采用更前沿的技术栈和业务框架，系统中常出现可被直接审计发现进而用于代码注入的漏洞，通过植入特定的语句，即可改变系统执行的逻辑。所以在互联网行业中，代码注入的风险最高，同样位于低频高危象限的弱口令漏洞也应当被重点关注和解决。不同行业的安全风险差异图3 长亭科技金融行业Web漏洞威胁象限SSRFXXECSRF运维不当命令注入代码注入任意文件读取文件上传弱口令SQL注入出现频率威胁程度越权XSS业务逻辑漏洞敏感信息泄漏高频x高危低频x高危低频x高危高频x低危07年度漏洞威胁分析与安全展望Threat Landscape and Management: An Annual Review of Vulnerabilities 抽样同等数量的iOS与Android应用测试案例，研究发现Android平台漏洞数量是iOS平台的1.31倍。全部抽样案例中，至少存在一个移动端漏洞的企业/机构占比93.9%，至少存在一个高危iOS或Android应用漏洞的企业/机构占比分别为45.5%和75.8%。iOS平台中，高中低危漏洞比例分别为9.9%、43.8%和46.3%；而Android平台的高中低危漏洞比例依次是47.9%、23.3%和28.8%。1/2 移动端漏洞数据来源：长亭科技安全服务团队图5 移动端漏洞危害等级高危中危低危图4 长亭科技互联网行业Web漏洞威胁象限SSRFXXECSRF运维不当命令注入代码注入任意文件读取文件上传弱口令SQL注入出现频率威胁程度越权XSS业务逻辑漏洞敏感信息泄漏高频x高危低频x高危低频x高危高频x低危08年度漏洞威胁分析与安全展望Threat Landscape and Management: An Annual Review of VulnerabilitiesiOS9.9%46.3%43.8%Android47.9%28.8%23.3% 对比不同行业的漏洞危害程度，可以发现传媒、交通和医疗行业的移动端安全建设与金融、互联网相比尚存一定差距。漏洞出现频率和威胁程度及其应对措施数据来源：长亭科技安全服务团队图6 各行业移动端漏洞危害对比图7 长亭科技iOS移动端漏洞威胁象限09年度漏洞威胁分析与安全展望Threat Landscape and Management: An Annual Review of Vulnerabilities平均保险证券互联网金融通信银行体育能源医疗交通区块链传媒高危中危低危不安全的储存密码学实现问题业务逻辑漏洞不正确的证书校验敏感数据明文传输URLScheme 滥用不安全的用户认证未启用键盘记录保护敏感内容输出到日志敏感应用未进行越狱检测内网IP泄漏出现频率威胁程度高频x高危低频x高危低频x高危高频x低危未使用SSL Pinning不安全的ATS配置敏感信息可被截图未开启Data Protection 如图7所示，iOS平台出现频率最高的三类问题依然是不安全的ATS配置、未开启Data Protec-tion和未使用SSL证书绑定，占比分别为16.7%、13.3%和12%；出现频率最低的分别是不安全的文件存储、敏感数据明文传输和URLScheme滥用，占比分别是0.3%、0.5%和1.3%。可见iOS平台中敏感信息明文存储问题较少，而同样问题在Android应用漏洞中的占比是2.6%，原因主要是iOS平台不存在任意应用可以访问的SDCard分区，且它为开发者提供了安全可靠的Keychain服务，而Android系统存储规范松散，于是滋生了很多的不安全存储漏洞。同时从数据明文传输占比可知，目前App生态中除