圍繞着安全漏洞生命週期所進行的攻防技術博弈一直以來都是安全社區永恆的話題,而一個典型的安全漏洞生命週期包括如下7個部分: |
1)安全漏洞研究與挖掘: 由高技術水平的黑客與滲透測試師開展,主要利用源代碼審覈(白盒測試)、逆向工程(灰盒測試)、Fuzz測試(黑盒測試)等方法,挖掘目標系統中存有的可被利用的安全漏洞。 |
2)滲透代碼開發與測試: 在安全漏洞挖掘的同時,黑客們會開發概念驗證性的滲透攻擊代碼(POC),用於驗證找到的安全漏洞是否確實存在,並確認其是否可被利用。 |
3)安全漏洞和滲透代碼在封閉團隊中流傳: 在發現安全漏洞並給出滲透攻擊代碼後,負責任的“白帽子”們採取的處理策略是首先通知廠商進行修補,而在廠商給出補丁後再進行公佈;而“黑帽子”與“灰帽子”們一般在封閉小規模團隊中進行祕密地共享,以充分地利用這些安全漏洞和滲透攻擊代碼所帶來的攻擊價值。 |
4)安全漏洞和滲透代碼開始擴散: 由於各種原因,在封閉團隊中祕密共享的安全漏洞和滲透代碼最終會被披露出來,在互聯網上得以公佈,“黑帽子”們會快速對其進行掌握和應用,並在安全社區中開始快速擴散。 |
5)惡意程序出現並開始傳播: “黑帽子”們將在掌握安全漏洞和滲透代碼基礎上,進一步開發更易使用、更具自動化傳播能力的惡意程序,並通過黑客社區社會組織結構和互聯網進行傳播。在此過程中(或之前和之後),廠商完成補丁程序開發和測試,並進行發佈。 |
6)滲透代碼/惡意程序大規模傳播並危害互聯網: 廠商發佈補丁程序和安全警報將更進一步地讓整個黑客社區瞭解出現新的安全漏洞和相應的滲透代碼、惡意程序,更多的“黑帽子”們將從互聯網或社區關係網獲得並使用這些惡意程序,對互聯網的危害也在這個階段達到頂峯。 |
7)滲透攻擊代碼/攻擊工具/惡意程序逐漸消亡: 在廠商補丁程序、安全公司提供的檢測和移除機制得到廣泛應用後,相應的滲透代碼、惡意程序將被“黑帽子”們逐漸拋棄,從而慢慢地消亡。 |