這些漏洞中,大多數(shù)漏洞的壽命都是無限的�。
源自這項(xiàng)研究的結(jié)論包括:
1. 半衰期- 所有行業(yè)中關(guān)鍵漏洞的半衰期都維持在30天左右,與個(gè)別行業(yè)相比��,服務(wù)行業(yè)的漏洞半衰期最短(21天)�����,金融行業(yè)排名第二(23天)�����,零售業(yè)為24天�����,而制造業(yè)最長(zhǎng)為51天���。
2. 普遍性- 對(duì)于最普遍和最嚴(yán)重的漏洞����,其中60%都會(huì)在下一年被新漏洞取代,而在2004年的百分比為50%���。根據(jù)Laws 2.0顯示���,最難被取代的漏洞發(fā)生在MSFT Office、Windows 2003 SP2��、Adobe Acrobat和Sun Java插件�����。
3. 持久性- Laws 2.0宣稱�����,大多數(shù)漏洞的壽命都是無限的���,絕大部分的漏洞完全無法修復(fù),該法規(guī)還對(duì)比了MS08-001����、MS08-007�����、MS08-015和MS08-021的數(shù)據(jù)�,如上圖所示�����。
4. 利用- 在漏洞公開于眾后的幾天后��,80%的漏洞將被攻擊者利用��。在2008年�,Qulays Labs記錄了56個(gè)利用零日攻擊的漏洞,其中包括制造Conficker的RPC漏洞����。在2009年,微軟公司發(fā)布的第一個(gè)漏洞MS09-001在七天內(nèi)就被攻擊者成功利用�。微軟公司April Patch Tuesday包括對(duì)已公開漏洞47%進(jìn)行的漏洞利用攻擊。
Qualys首席技術(shù)官Wolfgang Kandek和Laws of Vulnerabilities 2.0的作者表示:
攻擊者的攻擊方式變得越來越復(fù)雜�����,而大多數(shù)關(guān)鍵漏洞的利用時(shí)間越來越短��,這使安全問題變得越來越嚴(yán)峻。我們這次研究的目標(biāo)是幫助不同行業(yè)的企業(yè)來理解更廣泛的漏洞趨勢(shì)�、潛在危害性和漏洞的優(yōu)先權(quán),這樣就能采取更有效和更直接的方式來保護(hù)網(wǎng)絡(luò)�。有了這些研究的統(tǒng)計(jì)分析,我們就能向各行各業(yè)提供關(guān)于漏洞的實(shí)時(shí)趨勢(shì)分析�。
