中國發現網絡安全漏洞速度有多快?美媒:領先美國20天
參考消息網10月24日報導美媒稱,今年3月,阿帕奇軟體基金會宣布它發現了其軟體中的一個重大瑕疵。現在,這個瑕疵已眾所周知,堪稱伊奎法克斯公司未修補的致命要害:黑客可藉此盜走1.45億美國人的敏感信息。而防範黑客襲擊的中國公司則領先了一步。就在阿帕奇宣布這個消息一天之內,中國國家安全信息漏洞庫(CNNVD)就發表了這個軟體漏洞的詳細內容;而三天後它才出現在美國的官方資料庫中。那時,研究人員已記錄到全球利用這個錯誤代碼的黑客襲擊潮。
據美國彭博新聞社網站10月19日報導,根據網絡安全公司--「記錄未來」公司10月19日發表的研究報告,中國的優勢通常非常大。報告顯示:根據兩年來中國與美國資料庫新增17940個漏洞的分析,雙方公布新發現漏洞信息的時間平均相距20天。
「記錄未來」公司執行長克里斯多福·阿爾伯格說:「時間差距有點兒殘酷。黑客利用漏洞的速度極其迅速,這是因為黑客知道進入電腦系統的最佳途徑就是找到未修補的漏洞。」
「記錄未來」公司的研究結果只是最新證據,說明美國軟體漏洞的公開報告系統處於艱難掙扎狀態。美國商務部國家標準與技術研究所開展的項目--美國國家漏洞資料庫(NVD)建立並隨時更新「常見漏洞和風險暴露」(CVEs)編目,由非營利公司邁特公司維護。1999年邁特公司創建此編目時向專家提供了用各種化名代替的常見漏洞威脅的名稱。國家漏洞資料庫從2005年起還增加了機構可用於解決漏洞的內容和資源。保持網絡安全更新應以此為參照標準。
但是,資料庫依賴自願式漏洞提交,主要來源是漏洞軟體製造商。中國人使用更廣泛的來源和方法,包括技術測試。
速度,或者說缺乏速度,只是工業控制系統、醫療衛生器材和聯網家電迫切需要更新以解決新型威脅和漏洞所面臨的問題之一。「記錄未來」公司的分析報告發現:中國資料庫中的1746個「常見漏洞和風險暴露」根本未出現在美國的資料庫中。而美國國家漏洞資料庫在商業服務方面也落後了。
據風險安全諮詢公司評估,完全依賴「常見漏洞和風險暴露」系統的機構將漏掉近一半已披露的漏洞。根據風險安全諮詢公司的跟蹤記錄,2017年上半年報告的安全漏洞比去年同期增加了29%。軟體公司參數技術公司(PTC)首席安全官喬舒亞·科爾曼說,隨著聯網家電以及所謂物聯網的發展,總體安全漏洞增長在加速。
不過,科爾曼說政府系統仍傾向於商業軟體漏洞,工業控制系統和醫療衛生器材得不到充分保護。軟體漏洞影響及其嚴重程度的打分系統也未跟上技術發展。導致應用癱瘓的缺陷相對得分較低,而這種事情可能給自動駕駛汽車或智能醫療器材造成毀滅性問題。科爾曼說:「令我驚恐的是,導致最嚴重失誤後果的漏洞也是最不受重視的。如果是醫用泵,那會致命。如果是渦輪機,那會發生爆炸。」
今年3月,眾議院能源和商務委員會致信邁特公司和美國國土安全部(負責監管邁特公司的「常見漏洞和風險暴露」項目合同),要求提供邁特公司採取了哪些措施保護和提高美國的網絡安全行為。
科爾曼說信息技術界或許必須在人力或資金方面多作貢獻。「記錄未來」公司首席數據學家比爾·拉德提出了一條明確的捷徑:派實習生去複製中國資料庫的東西。他說:「我想任務很明確,要儘可能全面。中國的系統至少保證了有改進餘地。」(編譯/鄭國儀)
(責任編輯:何欣)