转载

安全报告：通过NVD漏洞库看近年漏洞发展趋势

2016年已经过去小半了，是时候对过去几年的漏洞进行分析了。本篇文章将会对NVD漏洞库过去5年的漏洞进行分析，看看漏洞的发展趋势是怎么样的。

为什么选用NVD漏洞库呢？根据维基百科的说法，NVD是由美国政府收集的漏洞库，使用的是安全内容自动化协议(SCAP)。NVD包括数据库与安全相关的软件缺陷，错误配置，产品名称，影响范围等等。这些都是我们分析所需要的内容。通过分析NVD过去5年的数据,我们需要回答下列问题:

漏洞过去5年的趋势是怎么样的？这些数据有什么特殊的地方？

这些漏洞究竟有多严重，高危漏洞是多了还是少了？

哪个供应商生产了最多存在漏洞的产品？

哪个产品的漏洞最多？

哪个系统？Windows 系统，还是Linux系统？

哪个移动系统？IOS，Android还是Windows？

哪个web浏览器？Safari，IE还是Firefox？

漏洞与年份的线性相关图：

安全报告：通过NVD漏洞库看近年漏洞发展趋势

如上图， 2015 年的漏洞数量相比 2014 年的下降了 20% 。但是，如果我们观察总体的漏洞增长趋势的话，会发现 2015 年的总体增长量是正常的， 2014 年的超过 50% 的增长才是不正常的。总体的对比一下，发现大概每年可以增长 24% 。

但是，这并不意味者 2014 年就是最糟糕的，总体的趋势上来看，每年漏洞的数量一致在上涨，而且未来几年内将会持续上涨。再深入观察，我们发现了一些更有趣的事情。相比 2014 年的漏洞， 2015 年的高危漏洞更多，而 2014 年爆出来的漏洞最多的是中危漏洞。 CVSS 等级是 4, 5, 和 6 的漏洞居多，而 15 年有更多的漏洞是 CVSS 7,8,9 和 10 的。

安全报告：通过NVD漏洞库看近年漏洞发展趋势

从上图可知， 2015 年有超过 3376 个高危漏洞，然而在 2014 年只有 2887 个。（多了 17% ）

换句话说，高危漏洞的比例在增加，这一点足以引起我们的注意，我们必须要花更多时间来建设我们的漏洞检测体系。

漏洞的严重性

下面的表格是根据 CVSS 的等级显示的 2015 年漏洞分布。其中 10 是最高危的漏洞， 1 是最低危漏洞。

安全报告：通过NVD漏洞库看近年漏洞发展趋势

可以看到， CVSS 9 到 10 的漏洞数量非常多，以下是具体的数目：

安全报告：通过NVD漏洞库看近年漏洞发展趋势

这意味着 15 年的所有漏洞中 36% 的漏洞是高危的 (CVSS > = 7) 。 CVSS 平均值是 6.8 ，处于一个很危险的地步，差点就到 7 这个高危的数字了。

可以看出，漏洞的严重性一直在增加，但是这不一定都是坏事。这暴露出一个问题：我们必须要建立起一个漏洞监管系统，将漏洞的危害降到最低。有效的漏洞监管系统将会帮助你即使发现漏洞，并且对漏洞做出有效的应急措施，及时修复漏洞。

厂商的漏洞情况

我们来通过供应商的部分分析下 NVD 数据库的内容。没有任何公司能逃避漏洞的浪潮，包括苹果公司。现实就是，漏洞一直都存在，关键是要如何在这些漏洞被破坏者利用之前及时的修复漏洞。

在 2015 年，苹果公司爆出来的漏洞最多。而且这些漏洞的数量在上升。

下面是完整的图表：

安全报告：通过NVD漏洞库看近年漏洞发展趋势

2014 年的时候，苹果公司爆出来的漏洞排在第 5 位，微软第三， Cisco 第四。令人惊奇的是， Oracle 今年排在第 4 ，要知道去年他们是排在第二的。是否该恭喜下 Canonical 和 Novel 呢？可是他们在 2014 年根本就没有进入前十（他们分别是 13 和 15 ），呵呵呵。所以，苹果公司去年这一步跳的扯到蛋了。如果你有很多设备是苹果的，那么是时候考虑下你的资产安全了。

下图是 2014 年和 2015 年漏洞排名前十的供应商。

安全报告：通过NVD漏洞库看近年漏洞发展趋势

操作系统漏洞情况

根据 2015 年的统计， OSX 系统的漏洞最多，其次是 Windows 2012 ，然后是 Ubuntu Linux 。在开源系统中，漏洞最多的是 Ubuntu ，其次是 debian 。有趣的是 Windows 7 ，作为最流行的桌面应用系统，爆出来的漏洞居然低于 Ubuntu ，真是很惊奇呀。