查看: 10117|回复: 0

[网络安全] 中国网络安全漏洞披露效率远超美国

[复制链接]

34

主题

157

帖子

354

积分

中级会员

Rank: 3Rank: 3

积分
354
发表于 2019-1-5 10:59:53 | 显示全部楼层 |阅读模式
E安全10月25日讯 网络安全公司Recorded Future发布的研究报告显示,中国国家信息安全漏洞库(CNNVD)的平均效率比美国计算机应急响应小组(U.S.-CERT)高出近两倍。软件漏洞公开披露后,美国CERT平均花费33天时间完成编目程序,并在美国国家漏洞库(NVD)创建条目,而中国CNNVD完成这些流程的平均时间仅为13天。

美国NVD和CNNVD漏洞披露速度差距多大?

Recorded Future分析了NVD和CNNVD两年的漏洞报告数据。研究人员写到,75%初次披露的漏洞6天内被CNNVD收录,而美国NVD得花20天时间。90%的漏洞在初次披露后的18天内被CNNVD收录,而NVD则要用92天。

协调披露的情况下(只有向NVD报告后才公开发布),CNNVD也只稍微比美国滞后。
当厂商未与NVD密切协调时,NVD要花38天时间报告75%的公开漏洞,125天收录90%的漏洞,而CNNVD分别花费的时间为7天和23天。

研究人员列举了两大案例,例如提权漏洞“脏牛”(CVE-2016-5195)。研究人员发现该漏洞后于2016年10月19日披露,2天内,多个信息安全来源也立即披露漏洞,最初的报告被翻译为俄语发布在俄罗斯犯罪论坛上。6天之后,PoC代码出现在Pastebin上。11月10日,NVD初步公开此漏洞,而在这两周之前就已出现可能的漏洞利用代码。CNNVD在初次披露后两天便披露了该漏洞,比NVD超前20天。

哪怕几天时间高危漏洞都可能带来重大影响。

黑客在Equifax数据泄露中利用的漏洞CVE-2017-5638,其最初公开(Apache Software Foundation)时间为2017年3月7日,多个来源很快披露了此漏洞。 NVD于3月10日收录了该漏洞,而3月7日至3月10日这三天,就已在各处披露了数百次。CNNDV披露此漏洞的时间为3月7日。

CNNVD主动搜索漏洞信息
Recorded Future通过分析后总结称,之所有出现如此大的差距是因为CNNVD主动搜索网络和其它信息来源,查找漏洞信息,而NVD则会等待厂商的报告通过通用漏洞披露(CVE,由MITRE公司管理)数据库进行处理。
NVD网站写到,NVD会分析已在CVE字典中发布的CVE。研究人员发现,中国通过网络上广泛的漏洞信息来源及时优先披露,并不依赖行业自愿报告。相较而言,美国系统太过死板。
研究总结称,NVD之所以延迟数周、数月,其原因在于NIST和MITRE等待厂商自愿提交漏洞相关信息。MITRE负责管理进程,但不会强制及时提交到CVE字典。NVD将CVE字典作为唯一来源,其最终结果是美国政府根本不具备全面的网络安全漏洞数据库。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|Archiver|洛阳IT论坛 ( ICP18021590 )|网站地图

GMT+8, 2022-10-4 11:29 , Processed in 0.055265 second(s), 25 queries .

Powered by 洛阳IT论坛网 X3.4

© 2018-2025 China Inc.

快速回复 返回顶部 返回列表