美国国家信息安全漏洞数据库(简称NVD)是目前最为出色的可利用软件安全缺陷信息披露平台之一,使用的是安全内容自动化协议(SCAP)。NVD包括数据库与安全相关的软件缺陷,错误配置,产品名称,影响范围等等。目前参与漏洞披露流程的各主要厂商包括谷歌、苹果、微软以及甲骨文等核心技术企业。
根据美国网络安全与暗网情报企业Recorded Future公司的研究结果显示,在发现可资利用的软件漏洞到相关信息最终发布之间,NVD面临着约七天的滞后时长,并且据Recorded Future公司分析这个时间仍在延长。
Recorded Future公司首席数据科学家比尔·莱德在接受采访时解释称,“尽管国家安全漏洞数据库在很大程度上能够作为安全漏洞信息的核心来源,但实际情况是,在NVD发布漏洞相关信息之前,大量漏泄资讯早已得到披露。目前网络安全敌对阵营正对此进行监控并利用。”
也就是说,在NVD发布漏洞相关信息之前,大量漏泄资讯早已得到披露。对网络攻击者而言,七天时间也足够其充分对漏洞进行利用并实现入侵。
漏洞披露速度数据Recorded Future公司的报告指出,2016年到2017年的统计数据表明,NVD约有75%的共享漏洞曾被其它方面首先披露。其中25%的软件漏洞至少存在50天的披露间隔,而10%的软件漏泄在间隔方面甚至超过170天。目前仍存在超过500项早在2016年就被首先公布,但目前NVD仍未正式发表的CVE漏洞。
有时候,这些漏洞信息会被抢先发布在地下论坛当中,而此类地下论坛则身处暗网之内。众多犯罪分子在这里分享如何入侵特定系统的敏感信息。
Recorded Future公司发现,2016年至2017年期间,约有5%的NVD已发布漏洞曾在深网与暗网中进行过详尽披露。
从漏洞被初步发现到相关信息的具体披露,其实际时间与速度会受到多种不同因素的影响。一般来说,安全漏洞的严重程度,即可资利用的范围以及易受此影响的受众规模,会在很大程度上决定信息共享的速度。
企业如何主动“自保”莱德解释称,“NVD在漏洞信息发布速度方面的迟缓正在(间接)伤害各类企业。深网与暗网中的漏洞披露总是能够走在NVD前面,如今网络恶意分子的不断复杂化,给企业和社会带来更多的不确定威胁。企业需要掌握整体性安全态势感知,并利用NVD上发布的内容实现自我保护。尽管目前已经存在大量共享信息,但其在内容的协调方面仍然做得不够理想。”
同时,美国政府的漏洞信息共享模式面临着一系列挑战,例如目前一部分工作仍然需手动方式处理。
因此,企业及各政府机构不应依赖NVD作为了解自身网络基础设施、产品、数字化服务以及其它业务流程所面临新兴风险的最快捷方式。企业需要掌握整体性安全态势感知,并利用NVD上发布的内容实现自我保护。
本文转自d1net(转载)
