官方漏洞通告?肯定没有。
超过3/4的漏洞在美国国家漏洞数据库(NVD)发布之前就在网上公布了。新闻站点、博客和社交媒体页面,以及常人无法触及的暗网、便笺网站和犯罪论坛,往往比美国国家标准与技术局(NIST)统管的国家漏洞库更快公布漏洞。
威胁情报公司 Recorded Future 表示:“非官方与官方CVE沟通之间的错位,增加了CISO和安全团队的负担,让他们不知不觉间面对潜在漏洞利用毫无防护,无法对自己的安全策略做出战略性英明决策。”
2016年初收集的数据,以及对1.25万安全漏洞的分析表明:CVE从曝光到最终发布在NIST的NVD里,中间的时间延迟平均有7天。
公开揭露到官方通告之间的7天延迟,将企业置于重大威胁风险之中,并对官方披露渠道的可靠性提出质疑。厂商声明和NVD公布之间的时间差甚至更长,最快的厂商1天后即发出警告,最慢的发布则平均延迟172天。微软和Adobe很快,IBM和Apache反应迟缓。
5%的漏洞都先于NVD在暗网上披露上细节,且通常比预期的严重性要高。举个例子,脏牛漏洞 (CVE-2016-5195),其概念验证代码在NVD公布15天前就在Pastebin上发布了。原始安全报告被翻译成了俄语,并在报告披露2天后贴到了漏洞利用论坛上。
2016年,超500个CVE在网上申报,且至今仍在等着NVD的发布。
Recorded Future 首席执行官克里斯托弗·阿尔博格表示:“长久以来人们一直认为,非官方和官方源在漏洞披露上存在很长的时间延迟。该研究清晰表明,NVD和官方报告渠道无法跟上野生CVE的体量。公司企业需要查阅其他源,才能应用有意义且可执行的情报做好自身安全防护。”
Recorded Future 认为,公司企业需要采用主动和基于风险的方法来解决漏洞问题,利用来自更难以访问的站点的情报,比如暗网。虽然难以触碰,这些幽暗场所却是新威胁和潜在零日漏洞最先被讨论的地方。 |
发表于 2017-6-13 09:54:42