94.5％的已知漏洞未被黑客利用 网络空间险象环生

有媒体曾报道称“94.5%的已知漏洞没有被黑客利用”，这是一个相当可怕的数字，意味着互联网上随时都有可能爆发大规模的网络攻击事件。现如今，我们能看到的漏洞只是所有漏洞中的冰山一角，理论上来说，各种硬件或者软件都存在问题，只是我们没有发现或者没有被黑客利用而已。

据悉，2009年至2018年之间，大约有7.6万个安全漏洞被发现，其中2017年披露的漏洞数量为20832个，2018年为22022个，呈逐年上升趋势。而在这7.6万个漏洞中，只有4183个被不法分子利用，但是却给企业、政府、个人带来巨大的财产损失。

以2014年席卷全球的“心脏滴血”Openssl漏洞为例，该漏洞的爆发在整个互联网上掀起了一场腥风血雨，全球超过三分之二的网站都难逃其魔爪。根据相关数据显示，时隔五年，目前全球将近15万的系统仍然存在心脏滴血漏洞，其阴影一直笼罩在互联网当中。

图片来源于freebuf

而我国有将近1.4万的系统存在该漏洞，位居世界第二位。

图片来源于freebuf

这么多的漏洞到底是怎样产生的？而它又会产生怎样的危害？

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，编程人员在编写代码的时候因为个人能力的限制或者思考问题时的不全面，甚至有些人员会因为个人原因故意留有后门，致使某些攻击者能够在未授权的情况下访问或破坏系统。

漏洞带来的危害可大可小，小的原因是其在没有被黑客发现之前就已经修复，或者其利用价值不大，毕竟目前所披露的漏洞当中，只有很小一部分被黑客利用，但是，当高危漏洞发生时，很容易造成黑客入侵，导致数据泄露或丢失、信息被篡改、网站系统崩溃、甚至被敲诈勒索。

今年3月份，珠海市高新区某游戏企业研发的一款热门游戏后台系统存在漏洞，不法分子利用黑客技术入侵了该公司的游戏系统，盗取了游戏虚拟货币50亿金，约人民币8880万元。

在互联网安全领域，漏洞一直是一个核心而又敏感的话题，国家、企业时刻都在谈论如何提高网络空间防护能力。6月17日，工业和信息化部发布了《网络安全漏洞管理规定（征求意见稿）》，面向社会公开征求意见。

《意见稿》中提到网络产品、服务提供者和网络运营者发现或获知其网络产品、服务、系统存在漏洞后，应当立即对漏洞进行验证，对相关网络产品应当在90日内采取漏洞修补或防范措施，对相关网络服务或系统应当在10日内采取漏洞修补或防范措施。

在7月30日的第五届互联网安全领袖峰会（CSS 2019）上，工信部网络安全管理局副局长杨宇燕也表示，《网络漏洞管理规定》将以责任考核、行政监察、专项行动为抓手，构建事前防范、事中监测、事后应急“三位一体”的网络安全设施防护体系。

在漏洞的挖掘、收集、分析和感知方面，知道创宇一直都走在行业的前沿。在知道创宇CSO黑哥的带领下，知道创宇404安全实验室一直致力于漏洞的捕获和分析工作，几乎每个月都要获得来自Adobe、Oracle的致谢！

同时，知道创宇在结合自身丰富的实战经验与海量风险数据库的优势下，已建成ZoomEye网络空间搜索引擎、云防御安全大数据平台、Seebug漏洞指纹库、GAC全球网络攻击追踪平台等安全漏洞、威胁态势发现及防御平台，其安全能力已聚合至知道创宇旗下WebSOC、ScanV等安全产品及服务中，可及时捕获网络空间漏洞，感知网络空间安全态势，动态优化防御策略。在此基础上，再结合创宇盾基于云计算的Web防护、基于大数据的协同防御，可为各类互联网系统持续提供完备的安全防御能力，真正做到事前防范、事中监测、事后应急“三位一体”的网络安全设施防护体系。

修复网络漏洞的路途是坎坷的，修复旧的又会有新的爆发出来，我们需要的不是从单一方面修补漏洞，而是需要从整体规划的角度出发，自主发现问题、及时解决问题，在黑客发现漏洞之前就将风险扼杀在萌芽之中。