2016年上半年已经过去，现在是时候分析过去几年的漏洞了。本文将分析NVD漏洞数据库在过去5年中的漏洞，以查看该漏洞的发展趋势。

为什么选择NVD漏洞数据库?根据Wikipedia的说法，NVD是美国政府收集的漏洞数据库，并使用安全内容自动化协议(SCAP)。NVD包括与数据库相关的与安全相关的软件缺陷，配置错误，产品名称，影响范围等。这些都是我们分析所需的全部内容。通过分析过去5年的NVD数据，我们需要回答以下问题：

过去5年中该漏洞的发展趋势如何?这些数据有哪些特殊功能?

这些漏洞有多严重?是否存在或多或少的高风险漏洞?

哪个供应商生产的产品最脆弱?

哪个产品最容易受到攻击?

哪个系统?Windows系统还是Linux系统?

哪个移动系统?iOS，Android或Windows?

哪个网络浏览器?Safari，IE或Firefox?

脆弱性与年份的线性相关图：

与2014年相比，2015年的漏洞数量减少了20%。但是，如果观察到总体漏洞增长趋势，我们会发现2015年的总体增长是正常的，而2014年超过50%的增长是不正常的。总体而言，发现它可以每年以24%的速度增长。

但是，这并不意味着2014年是最糟糕的一年。总体而言，漏洞的数量每年都在增加，并且在未来几年中还将继续增加。深入了解，我们发现了一些更有趣的东西。与2014年的漏洞相比，2015年的高风险漏洞更多，而2014年爆发的漏洞最多的是中风险漏洞。CVSS级别为4、5和6，具有大多数漏洞，而15年的CVSS级别为7、8、9和10。

2015年，超过3376个高风险漏洞，但在2014年只有2887个。(增加17%)

换句话说，高风险漏洞的比例正在增加，足以吸引我们的注意力，我们必须花更多的时间来构建我们的漏洞检测系统。

漏洞的严重性

下表根据CVSS的级别显示了2015年的漏洞分布。其中，最危险的漏洞为10个，最危险的漏洞为1个。

可以看出，CVSS9到10中的漏洞数量非常大。以下是具体数字：

这意味着15年内所有漏洞中的36%是高风险(CVSS>=7)。CVSS的平均值为6.8，处于非常危险的程度，几乎达到了7的高风险数字。

可以看出，该漏洞的严重性一直在增加，但这并不一定是一件坏事。这就暴露出一个问题：我们必须建立一个漏洞监控系统，以最大程度地减少漏洞的危害。一个有效的漏洞监控系统将帮助您发现漏洞并采取有效的紧急措施及时修复漏洞。

让我们通过供应商的部分来分析NVD数据库的内容。包括苹果在内，没有公司能逃脱漏洞的浪潮。现实是漏洞始终存在。关键是如何及时解决漏洞，以防破坏者利用这些漏洞。

在2015年，苹果漏洞最多。并且这些漏洞的数量正在增加。

2014年，苹果的漏洞排名第五，微软排名第三，思科排名第四。出乎意料的是，Oracle知道他们去年排名第二，所以今年排名第四。我应该祝贺《规范与小说》吗?但是他们没有进入2014年的前十名(分别是13和15)，哈哈哈。因此，苹果去年跃升至现阶段。如果您有很多来自Apple的设备，那么该考虑资产安全了。

2014年和2015年漏洞十大供应商。

操作系统漏洞

根据2015年的统计，OSX系统漏洞最多，其次是Windows2012，其次是UbuntuLinux。在开源系统中，Ubuntu最容易受到攻击，其次是debian。有趣的是，Windows7作为最流行的桌面应用程序系统，其漏洞级别低于Ubuntu。太奇妙了。

移动设备系统漏洞图。可以看出，2015年宣布的iPhone系统漏洞最多。接下来是Windows和Android。与2014年相差无几。在2014年，Iphone最多，其次是window和Android。

浏览器漏洞

在2015年，IE漏洞最多。这与2014年的情况基本相同，也是IE，Chrome，Firefox，Safari的排名顺序。

根据近几年NVD的漏洞情况，我们预计今年CVSS级别的高风险漏洞数量可能会更多。此外，移动系统安全将成为热点。同时，随着越来越多的移动安全专家宣布移动设备中的漏洞，移动系统中的漏洞将继续上升。

最后，整个漏洞环境确实给了我们很少的时间，而且我们自己的资源是有限的。但是，如果我们可以充分利用现有的漏洞库(例如NVD)并在我们自己的环境中使用它们，则可以使用此信息来帮助我们构建良好的应急系统。

标签:漏洞