威脅情報公司Recorded Future本周發布了的一項研究表明:在公司企業接到被曝安全漏洞警告的速度方面,美國開始遠遠落后于中國。
美國政府的國家漏洞數據庫(NVD),落后于中國的國家漏洞數據庫(CNNVD)——漏洞報告從提交到收錄進中心數據庫的平均時間,分別是33天和13天。換句話說,在中國,訂閱了CNNVD的公司和其他組織,在漏洞細節被提交后,平均13天內即可收到警報,而在美國,訂閱了NVD的用戶卻要等33天才收到。
與美國的NVD不同,中國的CNNVD不涉及管理全球漏洞披露,但其2倍速于北美同行的漏洞平均警報速度,很好地克服了這一潛在弱點。
因為依賴廠商提交和相關組織為漏洞分配唯一ID號(CVE),NVD漏洞公布動作往往會延遲數天乃至數周。相形之下,中國通過結合廣泛的在線源,來達成及時披露新發現漏洞的效果。美國政府糾結于官方過程,中國則專注關鍵目標:檢測新漏洞動向,披露關于新漏洞的警告。
Recorded Future的結論是:如果想搶在黑客知悉漏洞細節并加以利用之前,警告IT部門、政府機構和用戶新威脅來襲,美國的漏洞索引編撰者們就需要更加積極主動一些。該團隊指出:
黑客和安全團隊在漏洞利用和漏洞修復上比拼速度,這種時候,掌握最新漏洞信息就成了關鍵。美國NVD無疑是安全團隊應能依賴的最新信息來源。
不幸的是,因為NVD依賴自愿提交,其更新往往落后于漏洞最初披露數周。該差距令NVD無法提供全面的漏洞覆蓋。
NVD應擴展其使命,像其中國同行(CNNVD)一樣主動收集漏洞信息。
NVD
CNNVD
比爾·拉德,Recorded Future 首席數據科學家。他認為,NVD應納入中國CNNVD的內容,改善其表現。“目前,有1,746個CVE,是CNNVD中有,而NVD中不見蹤影的。”
Recorded Future此前的一項研究還發現,超過3/4的漏洞早在NVD公布之前就在網上曝光了。
一方面,有個中心數據庫存放漏洞和補丁信息與警報,是非常有用的。另一方面,這項工作并不容易,且私營信息安全公司也可以為付費企業做相同的工作。
漏洞獎勵先鋒凱蒂·墨蘇利斯稱:“NVD由資源有限的小型團隊運營。大多數需要實時漏洞信息的人都不依賴它。商業服務填補了這個角色。”
報告全文:
https://www.recordedfuture.com/chinese-vulnerability-reporting/
京公網安備 11010502049343號