谷歌零日漏洞分析发现“检测偏差”

7月底，谷歌网络安全项目Project Zero发布报告，描述2019年网络攻击中的漏洞利用，得出了关于零日漏洞检测的一些有趣结论。

2014年以来，谷歌Project Zero一直在追踪野生（非受控环境下）漏洞利用。去年，该项目发布电子表格，展示所追踪到的漏洞。

这首份“年度回顾”（Year in Review）报告显示，2019年有20个漏洞存在野生利用情况。不过，Project Zero指出，这些仅仅是业界发现的安全漏洞，去年新增零日漏洞利用的实际数量可能更多。

去年遭利用的漏洞波及苹果iOS、微软Windows和IE、谷歌Android和Chrome、Mozilla Firefox和趋势科技OfficeScan。

尽管20个缺陷中有11个影响的是微软产品（五倍于苹果和谷歌产品），但Project Zero指出，这一百分比表明微软产品是恶意黑客的主要目标，但占比如此之大也可能是由于“检测偏差”。

谷歌Project Zero研究员Maddie Stone解释道：“由于在其他平台出现之前，微软就一直都是黑客攻击的目标，针对微软产品的零日漏洞检测解决方案开发也已持续多年。而且除微软自身以外，微软生态系统还允许第三方部署零日漏洞检测解决方案。越多人使用各种检测手段探寻零日漏洞，就有越多零日漏洞会被发现。”

Stone还指出，在微软产品中发现的11个零日漏洞里，只有4个针对Windows 10用户，这也可能是检测偏差的一个指征。

研究人员问道：“旧版软件真的是微软Windows零日漏洞主要目标？还是说，我们不过是因为这些软件和漏洞利用技术存在时间最长，而更擅长检测此类漏洞？”

尽管遭利用的iOS和Android漏洞数量似乎较少，也没有漏洞利用影响Linux或macOS，但这未必意味着这几个平台就不是黑客的目标。相反，这一现象恰恰表明，安全行业应该重点检测针对上述操作系统的攻击。

另外，2019年的20个遭利用漏洞中，超过半数是谷歌和卡巴斯基发现的：谷歌威胁分析小组的Clément Lecigne发现了7个零日漏洞，卡巴斯基发现了4个。这一事实也表明了检测偏差的存在。

Stone指出：“如果整个全球安全行业中仅两家公司负责检测一年中超过半数的零日漏洞，我们就不得不担心我们的资源使用情况了。要保证我们能够检测大多数野生零日漏洞利用，安全行业还有很多工作要做。”

Stone还强调称，去年遭利用的漏洞中只有一个是供应商自己发现的（外部研究人员也独立发现了该漏洞）。这很令人惊讶，因为供应商应该更便于检测零日漏洞。

Stone表示：“这就引出了一个问题：具有最高访问权限的供应商安全团队是否并未将资源用于检测零日漏洞？还是说，内部安全团队确实在检测零日漏洞，只是不在内部发现当时选择公开？无论如何，这种做法并不可取。针对锁定的移动平台，这一状况就尤为令人担心了，因为外部研究人员实在难以进入这些平台检测漏洞利用。”

谷歌Project Zero的电子表格显示，2020年的列表已经包含11个遭利用的零日漏洞，其中包括影响Firefox、Internet Explorer、Chrome，趋势科技OfficeScan、微软Windows和Sophos XG防火墙的零日漏洞。

关键词：零日漏洞；检测偏差

相关链接

• 黑客50万美元售卖Zoom零日漏洞  安全应为办公安全指导性原则
  

• FireEye画了一张0day世界地图