暗網提前公布電腦漏洞信息的時間為平均七天

至頂網安全頻道 06月08日 綜合消息：

研究人員發現，NVD（美國漏洞資料庫）和安全權威公布的電腦漏洞大有可能在暗網（Dark Web）上已被分享了好多天了。

網路安全公司Recorded Future對漏洞信息在NVD公布以前是否被暗網及安全信息媒體披露做了一項研究，星期三發布了研究結果。所謂的暗網是指互聯網未被索引的部分，暗網只能通過Tor網路訪問。

據Recorded Future介紹，漏洞信息的公開披露及以正式通知的形式發送給各機構和安全公司的平均延遲為七天，而且，該研究考查了曾公開發布的12500個共有漏洞和弱點暴露（CVE），其中超過75％的CVE在進入CVE資料庫之前已經在網上被披露。

披露者包括媒體、博客以及Dark Web、Pastebin粘貼網站以及地下犯罪論壇等。

Recorded Future稱該結果「表明官方漏洞公開渠道的可靠性成疑」。

Recorded Future 表示，「非官方和官方渠道之間CVE的這種差異加重了CISO和安全團隊的負擔，導致這些人在漏洞大開時仍不知情，因而無法就安全策略在掌握了信息後再做出策略性決策。」

Recorded Future的研究始於2016年初，研究還顯示，供應商公告和NVD的發布之間也存在時間差異。記錄中最快為一天，而最慢的是在172天後NVD才發布。

Recorded Future考查了1500個在NVD發布前已被透露的漏洞，在暗網上透露的漏洞的5%具有極高的安全問題。另外，在地下網路上披露的漏洞的30%是用非英語發表的。

具體到Dirty Cow漏洞一例，Pastebin首先披露了Dirty Cow漏洞的概念驗證（POC），Dirty Cow漏洞15天後才在NVD發布。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！