谷歌零日漏洞分析發現 “檢測偏差”

7月底，谷歌網絡安全項目Project Zero發布報告，描述2019年網絡攻擊中的漏洞利用，得出了關于零日漏洞檢測的一些有趣結論。

2014年以來，谷歌Project Zero一直在追蹤野生（非受控環境下）漏洞利用。去年，該項目發布電子表格，展示所追蹤到的漏洞。

這首份“年度回顧”（Year in Review）報告顯示，2019年有20個漏洞存在野生利用情況。不過，Project Zero指出，這些僅僅是業界發現的安全漏洞，去年新增零日漏洞利用的實際數量可能更多。

去年遭利用的漏洞波及蘋果iOS、微軟Windows和IE、谷歌Android和Chrome、Mozilla Firefox和趨勢科技OfficeScan。

盡管20個缺陷中有11個影響的是微軟產品（五倍于蘋果和谷歌產品），但Project Zero指出，這一百分比表明微軟產品是惡意黑客的主要目標，但占比如此之大也可能是由于“檢測偏差”。

谷歌Project Zero研究員Maddie Stone解釋道：“由于在其他平臺出現之前，微軟就一直都是黑客攻擊的目標，針對微軟產品的零日漏洞檢測解決方案開發也已持續多年。而且除微軟自身以外，微軟生態系統還允許第三方部署零日漏洞檢測解決方案。越多人使用各種檢測手段探尋零日漏洞，就有越多零日漏洞會被發現。”

Stone還指出，在微軟產品中發現的11個零日漏洞里，只有4個針對Windows 10用戶，這也可能是檢測偏差的一個指征。

研究人員問道：“舊版軟件真的是微軟Windows零日漏洞主要目標？還是說，我們不過是因為這些軟件和漏洞利用技術存在時間最長，而更擅長檢測此類漏洞？”

盡管遭利用的iOS和Android漏洞數量似乎較少，也沒有漏洞利用影響Linux或macOS，但這未必意味著這幾個平臺就不是黑客的目標。相反，這一現象恰恰表明，安全行業應該重點檢測針對上述操作系統的攻擊。

另外，2019年的20個遭利用漏洞中，超過半數是谷歌和卡巴斯基發現的：谷歌威脅分析小組的Clément Lecigne發現了7個零日漏洞，卡巴斯基發現了4個。這一事實也表明了檢測偏差的存在。

Stone指出：“如果整個全球安全行業中僅兩家公司負責檢測一年中超過半數的零日漏洞，我們就不得不擔心我們的資源使用情況了。要保證我們能夠檢測大多數野生零日漏洞利用，安全行業還有很多工作要做。”

Stone還強調稱，去年遭利用的漏洞中只有一個是供應商自己發現的（外部研究人員也獨立發現了該漏洞）。這很令人驚訝，因為供應商應該更便于檢測零日漏洞。

Stone表示：“這就引出了一個問題：具有最高訪問權限的供應商安全團隊是否并未將資源用于檢測零日漏洞？還是說，內部安全團隊確實在檢測零日漏洞，只是不在內部發現當時選擇公開？無論如何，這種做法并不可取。針對鎖定的移動平臺，這一狀況就尤為令人擔心了，因為外部研究人員實在難以進入這些平臺檢測漏洞利用。”

谷歌Project Zero的電子表格顯示，2020年的列表已經包含11個遭利用的零日漏洞，其中包括影響Firefox、Internet Explorer、Chrome，趨勢科技OfficeScan、微軟Windows和Sophos XG防火墻的零日漏洞。