基于2014年上半年收集的數(shù)據(jù),IBM X-Force的安全研究人員近日預(yù)測,公開報道的漏洞數(shù)量今年將降至 8000個以下,這一數(shù)量比前兩年均減少數(shù)百個。但IBM的研究人員還表示,對漏洞嚴(yán)重性進行評級的系統(tǒng)通常不能反映出它們對用戶構(gòu)成的真正風(fēng)險。
根據(jù)IBM這份報告,基于CVSS的評分,今年上半年披露的漏洞中有67%的漏洞可被歸入中等風(fēng)險水平。IBM X-Force小組從軟件廠商、安全行業(yè)郵件列表以及其他來源公布的報告收集了大約3900份安全漏洞報告。研究團隊在近日公布的報告中指出,如果漏洞披露以同樣的速度持續(xù)下去,那么2014年的漏洞數(shù)量將降至8000個以下。
過去,安全專家曾爭辯稱,漏洞的整體數(shù)量與其影響并不相關(guān)。然而,盡管諸如通用安全漏洞評分系統(tǒng)(CVSS)等嘗試將漏洞嚴(yán)重性評估方法標(biāo)準(zhǔn)化,但仍然有許多例子顯示,某些漏洞所構(gòu)成的真正風(fēng)險并未被準(zhǔn)確表示出來。這一評分系統(tǒng)是由美國國家基礎(chǔ)設(shè)施顧問委員會開發(fā)、國際計算機網(wǎng)絡(luò)安全應(yīng)急組織聯(lián)盟維護的一個開放并被各產(chǎn)品廠商免費采用的行業(yè)標(biāo)準(zhǔn)。CVSS從基本評估、時效性評估和環(huán)境評估三個方面進行安全評估,最終得到一個介于1到10之間的數(shù)字,分值越大,風(fēng)險越大。
一個最好的例證就是今年4月初在OpenSSL庫中發(fā)現(xiàn)的“心臟流血”漏洞,攻擊者能利用該缺陷從網(wǎng)絡(luò)服務(wù)器的內(nèi)存中竊取敏感信息。這一漏洞獲得了CVSS基本評分5分(總分為10分),使其歸入中等風(fēng)險分類。而事實上,“心臟流血”漏洞的真正影響比CVSS評估的分?jǐn)?shù)所揭示的要大得多。