美媒稱,今年3月,阿帕奇軟件基金會宣布它發現了其軟件中(zhōng)的一(yī)個重大(dà)瑕疵。現在,這個瑕疵已衆所周知(zhī),堪稱伊奎法克斯公司未修補的緻命要害:黑客可借此盜走1.45億美國人的敏感信息。而防範黑客襲擊的中(zhōng)國公司則領先了一(yī)步。就在阿帕奇宣布這個消息一(yī)天之内,中(zhōng)國國家安全信息漏洞庫(CNNVD)就發表了這個軟件漏洞的詳細内容;而三天後它才出現在美國的官方數據庫中(zhōng)。那時,研究人員(yuán)已記錄到全球利用這個錯誤代碼的黑客襲擊潮。
資(zī)料圖:隐藏在網絡中(zhōng)的黑客也有黑白(bái)之分(fēn)。
據美國彭博新聞社網站10月19日報道,根據網絡安全公司--“記錄未來”公司10月19日發表的研究報告,中(zhōng)國的優勢通常非常大(dà)。報告顯示:根據兩年來中(zhōng)國與美國數據庫新增17940個漏洞的分(fēn)析,雙方公布新發現漏洞信息的時間平均相距20天。
“記錄未來”公司首席執行官克裏斯托弗·阿爾伯格說:“時間差距有點兒殘酷。黑客利用漏洞的速度極其迅速,這是因爲黑客知(zhī)道進入電(diàn)腦系統的最佳途徑就是找到未修補的漏洞。”
“記錄未來”公司的研究結果隻是最新證據,說明美國軟件漏洞的公開(kāi)報告系統處于艱難掙紮狀态。美國商(shāng)務部國家标準與技術研究所開(kāi)展的項目--美國國家漏洞數據庫(NVD)建立并随時更新“常見漏洞和風險暴露”(CVEs)編目,由非營利公司邁特公司維護。1999年邁特公司創建此編目時向專家提供了用各種化名代替的常見漏洞威脅的名稱。國家漏洞數據庫從2005年起還增加了機構可用于解決漏洞的内容和資(zī)源。保持網絡安全更新應以此爲參照标準。
但是,數據庫依賴自願式漏洞提交,主要來源是漏洞軟件制造商(shāng)。中(zhōng)國人使用更廣泛的來源和方法,包括技術測試。
速度,或者說缺乏速度,隻是工(gōng)業控制系統、醫療衛生(shēng)器材和聯網家電(diàn)迫切需要更新以解決新型威脅和漏洞所面臨的問題之一(yī)。“記錄未來”公司的分(fēn)析報告發現:中(zhōng)國數據庫中(zhōng)的1746個“常見漏洞和風險暴露”根本未出現在美國的數據庫中(zhōng)。而美國國家漏洞數據庫在商(shāng)業服務方面也落後了。
據風險安全咨詢公司評估,完全依賴“常見漏洞和風險暴露”系統的機構将漏掉近一(yī)半已披露的漏洞。根據風險安全咨詢公司的跟蹤記錄,2017年上半年報告的安全漏洞比去(qù)年同期增加了29%。軟件公司參數技術公司(PTC)首席安全官喬舒亞·科爾曼說,随着聯網家電(diàn)以及所謂物(wù)聯網的發展,總體(tǐ)安全漏洞增長在加速。
不過,科爾曼說政府系統仍傾向于商(shāng)業軟件漏洞,工(gōng)業控制系統和醫療衛生(shēng)器材得不到充分(fēn)保護。軟件漏洞影響及其嚴重程度的打分(fēn)系統也未跟上技術發展。導緻應用癱瘓的缺陷相對得分(fēn)較低,而這種事情可能給自動駕駛汽車(chē)或智能醫療器材造成毀滅性問題。科爾曼說:“令我(wǒ)驚恐的是,導緻最嚴重失誤後果的漏洞也是最不受重視的。如果是醫用泵,那會緻命。如果是渦輪機,那會發生(shēng)爆炸。”
今年3月,衆議院能源和商(shāng)務委員(yuán)會緻信邁特公司和美國國土安全部(負責監管邁特公司的“常見漏洞和風險暴露”項目合同),要求提供邁特公司采取了哪些措施保護和提高美國的網絡安全行爲。
科爾曼說信息技術界或許必須在人力或資(zī)金方面多作貢獻。“記錄未來”公司首席數據學家比爾·拉德提出了一(yī)條明确的捷徑:派實習生(shēng)去(qù)複制中(zhōng)國數據庫的東西。他說:“我(wǒ)想任務很明确,要盡可能全面。中(zhōng)國的系統至少保證了有改進餘地。”
上一(yī)篇:專家意外(wài)發現新僵屍網絡 全球超百萬組織或已被感染
下(xià)一(yī)篇:抗D服務不收費(fèi) DDoS防護新常态