最近幾年,被曝漏洞數(shù)量逐漸攀升并且不斷刷新記錄。根據(jù)Skybox Security最新發(fā)布的2020年漏洞和威脅趨勢報(bào)告顯示�����,截至目前2020年為9799份��,2019年為7318份��,增幅為34%�����。此數(shù)據(jù)也超過了2018年前六個(gè)月報(bào)告的最高記錄8485份����,表明2020年的新增漏洞數(shù)量很可能會(huì)突破新記錄���。而據(jù)騰訊安全威脅情報(bào)中心數(shù)據(jù)顯示���,截至2019年12月底,仍有79%的企業(yè)終端上存在至少一個(gè)高危漏洞未修復(fù)�����,而這帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不言而喻。
聯(lián)動(dòng)協(xié)同推進(jìn)���,打造漏洞產(chǎn)業(yè)鏈實(shí)踐閉環(huán)
在漏洞市場的內(nèi)外雙重刺激下���,包括位于前端的廠商、上游漏洞發(fā)現(xiàn)���、中游漏洞披露以及下游漏洞利用等漏洞產(chǎn)業(yè)化鏈條逐漸形成�����,以此達(dá)到防御黑客攻擊的目的��。
作為漏洞產(chǎn)業(yè)的核心樞紐��,以政府漏洞庫為代表的漏洞平臺(tái)發(fā)揮著巨大的價(jià)值����,是衡量漏洞危險(xiǎn)程度的重要標(biāo)準(zhǔn)�。在我國,由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)聯(lián)合國內(nèi)重要信息系統(tǒng)單位�����、基礎(chǔ)電信運(yùn)營商、網(wǎng)絡(luò)安全廠商�、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的國家網(wǎng)絡(luò)安全漏洞庫,進(jìn)行統(tǒng)一收集驗(yàn)證�、預(yù)警發(fā)布及應(yīng)急處置體系,切實(shí)提升在安全漏洞方面的整體研究水平和及時(shí)預(yù)防能力�。
軟件產(chǎn)業(yè)是軟件漏洞產(chǎn)業(yè)的源頭,如何在前期快速識(shí)別和修補(bǔ)漏洞就顯得尤為重要�。目前,國內(nèi)外各大安全廠商��、白帽黑客����、以及研究/測評(píng)機(jī)構(gòu)在漏洞挖掘及防御方面貢獻(xiàn)了不小的力量���。作為互聯(lián)網(wǎng)安全領(lǐng)先品牌�,騰訊安全早在2016年就已成立了七大聯(lián)合實(shí)驗(yàn)室�,專注漏洞挖掘并負(fù)責(zé)向第三方廠商報(bào)告,同時(shí)向用戶提供漏洞修復(fù)解決方案��。
在協(xié)助廠商修復(fù)漏洞方面���,騰訊安全聯(lián)合實(shí)驗(yàn)室目前在漏洞挖掘�����、檢測及防御等重要環(huán)節(jié)中形成一套完善的漏洞防御體系���。在遵循國際漏洞披露規(guī)則前提下�,聯(lián)合實(shí)驗(yàn)室第一時(shí)間向受影響廠商提交了漏洞相關(guān)情況說明�����,協(xié)助受此影響廠商進(jìn)一步提升產(chǎn)品的安全性能�����,保護(hù)廣大用戶的網(wǎng)絡(luò)安全���。同時(shí)�,騰訊安全聯(lián)合實(shí)驗(yàn)室還連同騰訊其他業(yè)務(wù)平臺(tái)�����,常年向Adobe�、蘋果、微軟�����、谷歌等國際廠商提交漏洞研究報(bào)告,持續(xù)推動(dòng)互聯(lián)網(wǎng)安全生態(tài)的發(fā)展��。
在騰訊安全聯(lián)合實(shí)驗(yàn)室之中�����,被業(yè)內(nèi)譽(yù)為“漏洞挖掘機(jī)”的騰訊安全玄武實(shí)驗(yàn)室曾先后對外公布“BadBarcode”����、“BadTunnel”、“應(yīng)用克隆”�����、“殘跡重用”����、“BucketShock”����、 “BadPower”等重要研究成果,發(fā)現(xiàn)并協(xié)助國內(nèi)外知名企業(yè)修復(fù)了上千個(gè)安全問題�。在智能網(wǎng)聯(lián)汽車安全研究上�����,騰訊安全科恩實(shí)驗(yàn)室曾榮獲特斯拉CEO埃隆·馬斯克寫親筆信致謝��、入選“特斯拉安全研究員名人堂”��、全球首個(gè)“寶馬集團(tuán)數(shù)字化及IT研發(fā)技術(shù)獎(jiǎng)”等榮譽(yù)���。隨著當(dāng)前產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代的到來,護(hù)航產(chǎn)業(yè)數(shù)字化變革�、守護(hù)全網(wǎng)用戶的信息安全也已成為騰訊安全聯(lián)合實(shí)驗(yàn)室的重要使命之一。
隨著互聯(lián)網(wǎng)的快速發(fā)展���,漏洞提交平臺(tái)和漏洞獎(jiǎng)勵(lì)計(jì)劃也應(yīng)運(yùn)而生�。如今漏洞獎(jiǎng)勵(lì)計(jì)劃已成為全球互聯(lián)網(wǎng)公司的重要安全策略之一�����。在過去的一年���,微軟花費(fèi) 1370 萬美元獎(jiǎng)勵(lì)產(chǎn)品漏洞發(fā)現(xiàn)者��,比上一年度同期的 440 萬美元多出逾兩倍�。在2019年黑帽大會(huì)上,蘋果升級(jí)漏洞懸賞計(jì)劃從之前的每個(gè)漏洞 20 萬美元提升至 100 萬美元�,希望借助白帽黑客力量解決自身產(chǎn)品安全隱患。
此外��,每年全球范圍內(nèi)還會(huì)舉辦各種黑客大會(huì)和漏洞挑戰(zhàn)賽�,圍繞信息安全領(lǐng)域的發(fā)展趨勢、創(chuàng)新技術(shù)及風(fēng)險(xiǎn)漏洞進(jìn)行深入探討����,集黑客最強(qiáng)大腦助推網(wǎng)絡(luò)安全的發(fā)展。隨著新基建時(shí)代的到來���,新基建下的安全變得前所未有的重要�����。本月初�,國內(nèi)首個(gè)新基建安全大賽正式啟動(dòng)��,目標(biāo)就是邀請行業(yè)技術(shù)精英����,共同探索新基建場景應(yīng)用中潛在的安全風(fēng)險(xiǎn)����,將最終賽果反哺新基建安全標(biāo)準(zhǔn)制定�����。
當(dāng)前��,以人工智能�、云計(jì)算�����、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施將進(jìn)一步融入數(shù)字社會(huì)����,漏洞產(chǎn)業(yè)或?qū)⒚媾R全新挑戰(zhàn)的同時(shí),必然也會(huì)保持高速發(fā)展��,相信未來漏洞產(chǎn)業(yè)鏈也將涌現(xiàn)更多的業(yè)務(wù)模式和服務(wù)形態(tài)�����,來助力產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代安全建設(shè)�。
