近日，Trustworthy Computing發(fā)布了新的報(bào)告，調(diào)查了微軟緩解安全漏洞的措施在安全問題上的影響。這份報(bào)告基在過去七年間微軟通過安全升級處理過的被黑客利用的漏洞的研究。這一研究專注于評估各種被黑客利用的漏洞的類型，被攻擊的產(chǎn)品的版本和被黑客使用的漏洞利用手段在過去的趨勢。

這份報(bào)告中有幾個(gè)關(guān)鍵，被稱作軟件漏洞的利用方法，包括：

每年已知可以利用的遠(yuǎn)程代碼執(zhí)行漏洞(RCE)數(shù)量正在下降。

漏洞最經(jīng)常在安全補(bǔ)丁發(fā)布之后才被利用。盡管這些年在安全補(bǔ)丁發(fā)布之前就被利用起來的漏洞的百分比有所增加。​

圖1：在補(bǔ)丁發(fā)布之前和之后被利用的CVE漏洞所占的百分比

堆棧溢出漏洞曾經(jīng)是最常見的漏洞利用類別。但是現(xiàn)在已經(jīng)很少了。堆棧溢出漏洞的使用率從2006年的43%下降到了2012年的7%。

圖2：已知可以被利用的CVE漏洞的類別分布

釋放后使用(Use-After-Free)漏洞現(xiàn)在是最常見的漏洞利用類別。

漏洞利用越來越依賴于能繞開數(shù)據(jù)執(zhí)行保護(hù)(DEP)和地址空間布局隨機(jī)化(ASLR)的技術(shù)。

圖3：通過各種不同的技術(shù)利用的CVE漏洞的數(shù)量

這個(gè)研究中還有大量數(shù)據(jù)，可以幫我們理解使漏洞利用變得更加困難的因素。這份基于該研究的報(bào)告為我們提供了如何減少被入侵的可能性和管理風(fēng)險(xiǎn)的具體建議。

我們建議機(jī)構(gòu)中負(fù)責(zé)管理風(fēng)險(xiǎn)的人士閱讀這篇論文。

你可能會(huì)好奇我們?yōu)槭裁催M(jìn)行這樣一個(gè)研究。我認(rèn)識(shí)的許多客戶都對使用軟件漏洞的數(shù)量來評估他們的軟件供應(yīng)商在開發(fā)嚴(yán)重漏洞更少的軟件上的進(jìn)步的方法感興趣。我們在微軟安全情報(bào)報(bào)告(SIR)中發(fā)布各種漏洞數(shù)量統(tǒng)計(jì)，但是這樣的數(shù)據(jù)似乎意味著各種漏洞帶來的風(fēng)險(xiǎn)是相同的。當(dāng)我們仔細(xì)研究那些真的被攻擊者利用的類別和它們是如何被利用的時(shí)候。我們能更直觀的看到正在發(fā)生的趨勢，和如何高效的管理相關(guān)風(fēng)險(xiǎn)。

這次研究是由微軟安全工程中心(MSEC)和微軟安全響應(yīng)中心(MSRC)進(jìn)行的。MSEC有著業(yè)內(nèi)最先進(jìn)的安全科學(xué)團(tuán)隊(duì)。安全科學(xué)團(tuán)隊(duì)能夠在以下三個(gè)方面幫助到客戶：

幫助發(fā)現(xiàn)軟件漏洞

開發(fā)程序員應(yīng)該接受的漏洞緩解技術(shù)和工具。安全科學(xué)團(tuán)隊(duì)的研究成果通常會(huì)提供微軟安全開發(fā)流程(SDL)，一種每個(gè)微軟產(chǎn)品開發(fā)中都需要強(qiáng)制執(zhí)行的過程。目標(biāo)是使每個(gè)操作系統(tǒng)、瀏覽器和應(yīng)用程序的新版本都比之前的版本更難攻擊，讓攻擊者的惡意攻擊都更加困難和需要更高成本。

在威脅環(huán)境中持續(xù)監(jiān)測威脅趨勢和活動(dòng)，并且將學(xué)到的新技術(shù)用來改進(jìn)微軟的工具和流程。當(dāng)測定到新威脅進(jìn)入到生態(tài)系統(tǒng)中時(shí)，MSRC和微軟響應(yīng)流程會(huì)馬上運(yùn)作起來。

本文來自微軟可信計(jì)算的主管Tim Rains的文章《The Impact of Security Science in Protecting Customers》。