RAND公司：0day漏洞的前世今生

0day漏洞是指尚未公开发布补丁或尚未公开修复程序的软件漏洞。其中的“0day”是指软件厂商了解到该漏洞的天数（Libicki、Ablon和Webb，2015年）。攻击者使用0day漏洞攻击那些安装安全补丁较为频繁的公司团队；而某些安装安全补丁频率较低的公司可以通过一些已公开补丁的漏洞进行攻击尝试。因此，0day漏洞在犯罪分子、军队或政府的网络行动以及学术研究中都很有用。理所当然，一个关于0day漏洞买卖的商业模式和市场出现了。

关于美国政府或其他国家政府是否应该秘密保留0day漏洞，还是应该及时披露这些漏洞，目前全球各界分歧很大。那些知道0day漏洞的人可能会创建“漏洞利用库”，利用这些0day漏洞随意攻击互联网上的其他用户，如果不披露0day漏洞，很多人可能会变成攻击者的攻击靶子。

关于到底是保留还是披露这些漏洞，关键在于美国政府拥有的0day漏洞和其对手拥有的0day到底有多少是重复的。如果双方拥有的漏洞有一大部分都是相同的，那么保留这些漏洞是没有什么意义的——而如果情况相反，那么这些0day漏洞的价值则很大。但是，如果你不知道漏洞是否重复的信息，就很难做出明智的决定。

为了解决这个问题，RAND艰难地获取了一些关于0day漏洞以及利用的详细信息。它是一个非常丰富的数据集合，因为不同0day漏洞之间的不同点很多。这个数据集跨越14年（2002-2016年），包含200多个0day漏洞及其利用的详细信息。

在本报告中，我们将利用传统统计方法的新角度来分析整个数据集，以揭示这个行业的一些规律，并提出了一些关于0day漏洞利用情况和生命周期，以及其他人发现它们的可能性等一系列指标数据。

在报告中我们还写了0day漏洞的平均挖掘时间。这些研究结果均来自现实世界中的0day调查结果和专家意见，我们还创建一个框架，以决定是否应该披露某个0day漏洞，并且报告中还描述了一个正在进行的关于漏洞是否该披露的政策争论。

新发现

我们的研究得出了几个有趣的发现。现在大概说一下前两个：

1. 0day漏洞的平均寿命非常长，约为6.9年

2. 对于0day漏洞库中的某个特定漏洞，经过一年后，外界发现它的概率为5.7%

而且我们的研究发现，漏洞被外界发现的概率和漏洞本身的威胁程度没关系。以下是上面两个发现所引申出的小发现。

发现1：不可将漏洞简单的声明为“alive”（公开未知）或“dead”（公开已知），这过于简单化且具有误导性。


发现2：漏洞利用寿命在最初被发现后平均可持续6.9年；但大约25%的漏洞利用寿命低于一年半，另外25%的漏洞利用寿命在9.5年以上。


发现3：漏洞寿命和其本身的特征没有任何关系；但是，关于未来的进一步分析可能需要考虑到Linux系统与其他类型平台、开放代码和封闭源代码的异同以及各种漏洞利用方式的不同。


发现4：对于给定的某个0day漏洞，在一年后，外界发现它的概率大约为5.7%。而且同一个漏洞每年的被发现概率都不同。



发现5：一旦发现可利用漏洞，开发漏洞利用代码的平均时间为22天。

如果您想了解更多关于此文章的内容，可以查看链接获取完整版文章：https://www.rand.org/content/dam/rand/pubs/research_reports/RR1700/RR1751/RAND_RR1751.pdf

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.rand.org/pubs/research_reports/RR1751.html