NIST漏洞公布时间延迟过长,或存重大安全风险


国家漏洞数据库平台推出之前,有超过四分之三的漏洞都是在互联网上在线公开发布的。

新闻网站、博客、社交网站,甚至是更为边缘的网络领域,例如暗网、犯罪论坛等等。漏洞在这些地方首先公布的频率甚至比NIST的国家漏洞数据库(NVD)更高。

英特尔公司Recorded Future的警告说:“CVE漏洞发布通过非官方和官方渠道在即时性上的差距使得CISO和安全团队肩负着更大的压力与责任。因为这会导致一些潜在的漏洞在他们并不知情的情况下就已经被公开,这使得安全人员无法对其安全策略做出战略性和及时性的调整。”

根据从2016年初开始的超过12,500个安全漏洞的分析结果显示:CVE上的漏洞发布时间比最终在NIST的NVD上发布时间提前了7天。

根据Recorded Future报道,非官方和官方渠道发布时间上的7天时间延迟将面临重大安全风险,甚至可能导致群众对官方渠道发布漏洞的可靠性产生质疑。供应商公告和NVD发布之间的时间延迟可能会更长,最快的供应商为平均一天就推出警报,最慢的发布时间则延迟了172天。微软和Adobe相对较快,而IBM和Apache却都很慢。

在NVD发布之前,暗网上就已经详细介绍了超过20个(5%)漏洞,这些漏洞的严重程度比预期的要高得多。例如,在NVD发布前15天,The Dirty Cow漏洞(CVE-trademarks195)就已经有POC发布在Pastebin上,甚至连安全报告也都已经翻译成了俄文,并在报告首次发布两天后就发布在了一个漏洞利用论坛上。

Recorded Future 报道称,在2016年,有超过500个漏洞已经公开发布在互联网上,但NDV平台却至今仍未发布。

Recorded Future首席执行官克里斯托弗•阿尔伯格(Christopher Ahlberg)表示:“长期以来,非官方和官方的漏洞公布之间存在相当大的时间延迟。这项研究清楚地表明,NVD和官方报告渠道无法实现跟踪其他公开渠道的CVE的数量。如果要保护组织,组织就需要寻求其他渠道以确保获得有效、可操作的安全威胁情报。”

Recorded Future的结论是,组织需要采取主动和基​​于风险的方法来解决漏洞。从更为边缘的网络领域,例如暗网获取情报,但找到新的安全威胁和“0Day”漏洞之前需要过滤掉更多的垃圾信息。

 

本文 黑客视界 编译,转载请注明“转自黑客视界”,并附上链接。
原文链接:https://www.theregister.co.uk/2017/06/08/vuln_disclosure_lag/

作者
折腰的五斗米
折腰的五斗米 世间诸多不平,如我码字千万,却换不来你一句留言!!!
分享到