Cybersecurity报告(二):NSA调查称全球没有一款漏洞扫描工具真正有效

2015-11-19 180468人围观 ,发现 5 个不明物体 资讯

本文为美国专注安全领域的投资咨询机构Cybersecurity Ventures发布2015年Q3季度报告,该报告覆盖了本季度值得关注的网络安全业务包括市场规模、行业预测、支出、新兴业务及公司、投资、并购和IPO等事件。

上篇:CyberSecurity 2015 Q3报告(一):市场形势一派大好

应用程序安全

低水平的软件开发实践也许是最大的网络威胁。

●Forrester Web安全报告(该报告主要面向安全及风险专业人员提供服务商评估)指出,当前许多企业密集地上线应用、构建面向消费者的网站、购买现成的(无加固定制)的商业产品、开发移动应用来吸引用户,却没有伴随任何安全策略,结果是企业很多机密数据都面临外部攻击威胁和泄露风险。 

●知名科技产业风险机构BVP发布的一份白皮书提醒以软件/应用开发为早期关键环节的初创企业,安全开发中最重要的功能最好用资深开发者来完成并定期进行安全培训,次要的基本功能也需要进行代码分析以自动发现漏洞。

●美国系统安全协会(SANS)2015年关于应用安全的报告表明,很多信息安全工程师不了解软件开发,而大多数软件工程师也不了解安全,开发者只专注按照市场期望的时间发布功能,而不关心所开发的软件是否安全。数据表明,仅有大约20%左右的安全测试由软件开发或测试工程师完成,80%以上为内部安全小组完成。 

Applied Visions CEO表示:

“安全行业大多产品服务只检测扫描那些暴露的已知漏洞,但对于由低水平软件开发导致的漏洞过于忽略,其实这些漏洞黑客很容易发现。应用安全应该成为系统开发早期的必要一环,而不是在应用结束时才耗时耗力的发现和寻找。”

●Applied Visions是一家提供网络安全解决方案及统一控制命令系统的创新企业。

●SAP品牌总监近日在Fobres博客中写道,很多企业在网络层安全投入巨大,但其实84%网络攻击发生在应用层。

●美国国土安全厅发布声明称,90%的安全事故源于黑客利用了软件漏洞。 

●CNET最近报道称程序员很可能将安全漏洞拷贝到其他软件,因为他们并不完全完成全部代码,而是更多采用设计好的模块,但往往不会从对代码进行安全审计,这就为黑客留下了通用的后门。 

●麦肯基咨询合伙人James Kaplan在《华尔街日报》的一篇名为《不止网络安全:保护你的数据资产》中提到,软件开发需要一个更好的模式——应该指导开发者如何编写安全代码,从项目的第一天起软件开发中就应该包括安全架构,应该引入安全开发工具,这样才能在项目结束时将漏洞将至最低。他补充到,大多数开发者没有受到安全编码的训练。

●Code Dx CEO认为,大多数软件开发者和安全分析师没有意识到,如果只是使用了一个安全测试工具,即使是当前市场最好的一个,也不能检测出绝大多数漏洞,这也是该领域隐藏的秘密——没有一个安全开发工具足够好。 

●美国国家安全局(NSA)的一项研究表明,一般的应用安全测试工具只能覆盖13类漏洞中的8种,即61.5%的覆盖率。而对于平均每个单类漏洞也只能发现22%的漏洞,综合下来,漏洞发现率只有14%。

●Code Dx CEO认为,NSA的的研究揭破了很多软件开发者对其漏洞扫描工具的信任幻象,80%以上的漏洞没法扫描到,任何组织都无法接受这样效果的工具。

●据ReportsnReports调查,北美是全球最大的安全测试服务市场,2014年规模有24亿7千万美元,2019年将达到49亿6千万美元,年复合增长率达到14.9%。而SANS的超过一半会员表示将在下一年度大幅增加对应用安全项目的支出,只有3%表示将削减。

开源软件安全

企业对开源软件近100%的采用率催生了相关安全解决需求。

●据Cartner 2015年报告,95%的主流IT组织表示在其IT系统中的关键任务中,直接或者间接采用了开源软件,到2020年,采用率还会有快速提升。

●《2015开源软件未来》报告显示,有78%的企业系统基于开源软件运行,同时也非常缺乏常规管理策略及安全风险。

●《Cisco 2015年度安全报告》认为,黑客活动利用应用漏洞开始盛行,云应用的兴起以及广泛使用的开源CMS框架创造了高漏洞网站和SaaS应用的温床,IT运维部门也许可以保持底层系统/网路安全攻击,但由软件开发者构建的应用组件充斥了大量漏洞,令人防不胜防。 

●Cisco安全业务主管、首席工程师Jason Brvenik表示,攻击者开始充分利用这种软件安全裂缝,我们观察到超过56%的OpenSSL版本依然存在心脏滴血漏洞,全球2000家企业中四分之三的企业在心脏滴血漏洞被发现的一年后依然没有任何改进补救。 

●由Linux基金及多家行业巨头发起的核心基础设施计划(CII)最近发表声明称,三个用于加强全球基础设施关键安全组件的项目将获得50万美元支持。

●最近Linux基金会的年度报告中工作板块收集了1010位招聘经理及3446名Linux专业人员的反馈,结果显示2014心脏滴血bug之后,精通Linux安全的专业人员需求将大幅增加。 

●Black Duck Software CTO认为,在过去一年,8000个披露出来的漏洞中的40%出自开源软件项目,由于很多企业的基础架构都大量使用了开源软件,其中就存在很多潜伏了多年的漏洞,一旦被发现就会产生灾难性后果。

●曾为美国内阁提供开源软件及标准战略支持的Stauart J.Mackintosh近日发起了一个众筹项目,用于对最流行的ERP开源软件Odoo做网络安全渗透测试,这是该软件首次经受如此严格的安全测试,Mackintosh表示后续不仅限于开源软件,也将启动对其他被全球范围广泛使用的软件进行测试,他希望融到3万9000美元,并保证全部费用都会用于Odoo安全测试所需要的软件开发上。 

漏洞管理

尽管拥有90亿市场美元规模,心脏滴血漏洞证明了安全及漏洞管理服务还很差。 

●漏洞管理是一块需要防护者(安全运维小组)和构建者(开发工程师)共同工作来保证严重安全漏洞得以最快修复的关键领域,据“SANS 2015应用安全报告”数据,26%的安全部门需要花费每7天中的2天来为关键应用打补丁,22%的安全部门30天中有8天、14%的安全部门有3个月中的31天用于妥善部署补丁。 

●SANS报告还显示,接近一半的公司对于产品中的应用漏洞只是用很草率的方式快速修复或者用短期妥协方法处理如下线某个功能特性,这个数字令人担忧。

●2014年, 美国国家漏洞数据库中新添加了7038个新安全漏洞,平均每天19个。美国国家漏洞数据库由联邦当局成立用于存储记录网络漏洞数据,由美国国家技术标准研究所负责维护。

●美国国家漏洞数据库的数据显示,2014年新添加的漏洞中有24%为高危漏洞,来自第三方应用的漏洞占80%,操作系统占13%,硬件设备有4%。漏洞最多的Top 3操作系统为Apple Mac OS(147); Apple iOS(127); Linux Kernel(119),有趣的是Microsoft操作系统不再列在Top 3。漏洞最多的Top 3应用都是浏览器 Microsoft IE(242);Google Chrome(124);Mozilla Firefox(117)。

●451调查数据表明,修复一个漏洞的平均时长是176天,所以很多Windows上可供黑客利用的漏洞依然大幅公开。

●Cybersecurity Market Report主编Steve Morgan表示,心脏滴血是一件里程碑式的安全漏洞灾难,也给企业安全管理人员一个清醒警示,整个IT社区也因此了解了安全的重要性,但奇怪的是(也许并不奇怪)依然有很多没有修复心脏漏洞的Web服务器暴露在风险之中。 

●知名漏洞管理解决方案提供商Digital Defense Inc的调查表明,全球60%的网站都用OpenSSL加密个人数据。由于OpenSSL如此广泛地应用在多种软件和硬件应用上,近乎所有组织都在某个方面受到影响,这个十年一见的心脏滴血事件影响至少一年。 

Cisco 2015年度报告部分来源于全球九个城市1700个公司的CISO和安全运营中心问卷调查,该数据显示,56%的机构所采用的OpenSSL版本还是四年前的,这意味着还有大量企业存在心脏滴血漏洞。 

●据Markets&Markets预测,安全及漏洞管理市场将在2019年达到90亿美元规模,年复合增长率达到10.7%。

安全托管服务

全球安全托管服务(Managed Security Services)市场将从2015年的80亿美元爆发增长至2020年的300亿美元。 

●据Frost&Sullivan的"全球安全托管服务市场报告"显示,2018年,MSS市场规模将达到127亿8千万美元,而在2014年,MSS市场还只有78亿3千万美元。 

●而AMR认为,全球安全托管服务市场预计在2020年将达到299亿美元,未来五年年复合增长率将达到15.8%。 

●ABI Research表示,大多数机构缺乏安全专家来管理来自不同供应商、防不胜防的威胁、不断更新的安全法规组成的安全解决方案,而这种缺乏也在促进安全业务转向第三方安全托管服务机构。 

●IDC认为,企业安全支出中,安全即服务(SaaS)必将占据很大份额,2015年底,这个比例为15%,而到2018年,将上升至33%。

●在最近的Gartner 安全&风险管理峰会上,Gartner分析师发现,很大比例的企业机构正在改变其安全资源分配观念,从偏操作的安全技术例如安全设备管理和监控,转变偏巩固及应急响应,这种转变也带来安全托管服务的快速增长。 

●Frost&Sullivan注意到,安全托管服务市场增长最快的国际是欧洲、众多和非洲,关键原因来自欧洲数据保护法规,同样的情况也发生在南美,越来越严格的法规和监管将促进安全托管服务市场增长,特别在医疗、银行和零售领域。 

●Gartner安全托管服务魔力象限根据安全供应理念的完整以及实施能力,将其分为不同梯队,其中在”领导者“列表中有Dell Securework、IBM、Verizon、AT&T、Symantec。右下方”挑战者“有:NTT、BT、HP以及CSC,可供CSIO们选择服务商以作参考。

●IDC加拿大最近也发布了一份MSS市场份额报告,报告中主要涉及12家主要MSSP,其中TELUS,IBM,CGI和BEI列在领导者分类,而DELL、HerJavec Group、IPS、Above Security、eSentire、ALLstream、Wipro及Scalar为主要厂商。

(未完待续)

*原文链接:Cybersecurity Market Report 2015 Q3,翻译/青藤云安全,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM) 

这些评论亮了

  • janusec (1级) https://github.com/Janusec/jan... 回复
    NSA 说的没错,在产品后期去改善安全,改进空间有限。只有从源头开始,执行安全开发流程,并配合各种安全工具、技术、安全的部署、以及风险规避措施,最大限度的保障全生命周期的安全性。
    为什么我们的网站总是被入侵?为什么我们开发的APP经常被告知存在高危漏洞?
    做项目没有成熟的流程控制,没有方案评审或同行评审,没有人对交付的产品质量把关...
    做方案设计或开发,没有标准/规范,或没有基于标准/规范进行符合性检查,仅依靠个人经验...
    产品没有经过安全测试就发布,带着漏洞上线,且漏洞很容易被黑客发现和利用...
    上线后,存在使用弱口令、空口令、通用口令的情况,以及在应用中配置使用root超级口令的现象...
    数据库向互联网开放、备份不可用、缺乏基本的防护...
    发现问题后,无法从根本上解决问题,同样的问题还是会频繁出现...
    寄希望于防火墙设备或软件、入侵防御系统(IPS)、Web应用防火墙(WAF),或第三方防护产品,却经常被绕过...
    我们Janusec SDL SaaS 的解决方案
    提供在线SDL服务(SDL SaaS服务), 安全从源头开始, 贯穿产品生命周期始终;
    按产品版本进行立项,执行在线的项目管理流程;
    自动为项目各阶段添加对应的关键控制任务(安全KCP任务),未完成则无法进入下一阶段;
    完善的自检Checklist机制,关键任务自动展示自检项,不遗漏重要的操作;
    用流程化的方式自动提醒在当前阶段需要做什么事情;
    上线后,提供在线ITSM服务(IT服务管理),提高运维管理效率;
    让自身强大起来,不依赖外部安全解决方案,从根本上规避高危安全风险!
    )6( 亮了
发表评论

已有 5 条评论

  • 青藤云安全  2015-11-19 回复 1楼

    美国国家安全局(NSA)的一项研究表明,一般的应用安全测试工具只能覆盖13类漏洞中的8种,即61.5%的覆盖率。而对于平均每个单类漏洞也只能发现22%的漏洞,综合下来,漏洞发现率只有14%。

  • hbuexinxin  2015-11-19 回复 2楼

    没办法,能大多数公司能保证基本功能按时发布已经很难了。

  • zoonctrl  (6级) 该怎么做好信息安全?  2015-11-19 回复 3楼
  • Forsaken  (1级)  2015-11-20 回复 4楼

    净说大实话,不过按照常规的阴谋论来说,美国人都和外星人交流感情好多年了,掌握了超越人类整体500年的技术水平,一点漏洞都不叫事。

  • janusec  (1级) https://github.com/Janusec/jan...  2015-11-20 回复 5楼

    NSA 说的没错,在产品后期去改善安全,改进空间有限。只有从源头开始,执行安全开发流程,并配合各种安全工具、技术、安全的部署、以及风险规避措施,最大限度的保障全生命周期的安全性。

    为什么我们的网站总是被入侵?为什么我们开发的APP经常被告知存在高危漏洞?
    做项目没有成熟的流程控制,没有方案评审或同行评审,没有人对交付的产品质量把关…
    做方案设计或开发,没有标准/规范,或没有基于标准/规范进行符合性检查,仅依靠个人经验…
    产品没有经过安全测试就发布,带着漏洞上线,且漏洞很容易被黑客发现和利用…
    上线后,存在使用弱口令、空口令、通用口令的情况,以及在应用中配置使用root超级口令的现象…
    数据库向互联网开放、备份不可用、缺乏基本的防护…
    发现问题后,无法从根本上解决问题,同样的问题还是会频繁出现…
    寄希望于防火墙设备或软件、入侵防御系统(IPS)、Web应用防火墙(WAF),或第三方防护产品,却经常被绕过…

    我们Janusec SDL SaaS 的解决方案
    提供在线SDL服务(SDL SaaS服务), 安全从源头开始, 贯穿产品生命周期始终;
    按产品版本进行立项,执行在线的项目管理流程;
    自动为项目各阶段添加对应的关键控制任务(安全KCP任务),未完成则无法进入下一阶段;
    完善的自检Checklist机制,关键任务自动展示自检项,不遗漏重要的操作;
    用流程化的方式自动提醒在当前阶段需要做什么事情;
    上线后,提供在线ITSM服务(IT服务管理),提高运维管理效率;
    让自身强大起来,不依赖外部安全解决方案,从根本上规避高危安全风险!

取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php