超過3/4的漏洞在美國國家漏洞數(shù)據(jù)庫(NVD)發(fā)布之前就在網上公布了。新聞站點、博客和社交媒體頁面,以及常人無法觸及的暗網、便箋網站和犯罪論壇,往往比美國國家標準與技術局(NIST)統(tǒng)管的國家漏洞庫更快公布漏洞。
威脅情報公司 Recorded Future 表示:“非官方與官方CVE溝通之間的錯位,增加了CISO和安全團隊的負擔,讓他們不知不覺間面對潛在漏洞利用毫無防護,無法對自己的安全策略做出戰(zhàn)略性英明決策。”
2016年初收集的數(shù)據(jù),以及對1.25萬安全漏洞的分析表明:CVE從曝光到最終發(fā)布在NIST的NVD里,中間的時間延遲平均有7天。
公開揭露到官方通告之間的7天延遲,將企業(yè)置于重大威脅風險之中,并對官方披露渠道的可靠性提出質疑。廠商聲明和NVD公布之間的時間差甚至更長,最快的廠商1天后即發(fā)出警告,最慢的發(fā)布則平均延遲172天。微軟和Adobe很快,IBM和Apache反應遲緩。
5%的漏洞都先于NVD在暗網上披露上細節(jié),且通常比預期的嚴重性要高。舉個例子,臟牛漏洞 (CVE-2016-5195),其概念驗證代碼在NVD公布15天前就在Pastebin上發(fā)布了。原始安全報告被翻譯成了俄語,并在報告披露2天后貼到了漏洞利用論壇上。
2016年,超500個CVE在網上申報,且至今仍在等著NVD的發(fā)布。
Recorded Future 首席執(zhí)行官克里斯托弗·阿爾博格表示:“長久以來人們一直認為,非官方和官方源在漏洞披露上存在很長的時間延遲。該研究清晰表明,NVD和官方報告渠道無法跟上野生CVE的體量。公司企業(yè)需要查閱其他源,才能應用有意義且可執(zhí)行的情報做好自身安全防護。”
Recorded Future 認為,公司企業(yè)需要采用主動和基于風險的方法來解決漏洞問題,利用來自更難以訪問的站點的情報,比如暗網。雖然難以觸碰,這些幽暗場所卻是新威脅和潛在零日漏洞最先被討論的地方。