查看原文
其他

不管是CVE还是NVD 好多漏洞都被忽略

nana 安全牛 2018-12-16

2018年上半年见证了创纪录的软件漏洞报告数量,但仍有很大一部分并未收录在任何主流漏洞跟踪列表中的漏洞。

安全公司 Risk Based Security (RBS) 估算,从今年元旦到6月30日记录的10,644个漏洞中,其中16.6%的CVSSv2评分高于9.0(高危漏洞级,需马上打补丁的那种)。


然而,这些漏洞中有3,279个既未曝光于通用漏洞库(CVE),也未见于美国国家漏洞数据库(NVD),甚至没有一个主流官方漏洞数据库收录过。公司企业对这些漏洞的存在一无所知。


而且,这些未得到官方收录的漏洞中,有44.2%的严重性评分在9.010.0之间。


虽然漏洞管理和评级不仅仅要考虑CVSS评分之类的标准,但如果公司企业不知道可能给自身资产带来风险的高危漏洞,问题也是很严重的。


RBS认为,高危漏洞未得到官方收录的深层原因在于,漏洞报告增长的同时,也在变得更为分散化。时至今日,哪里都有漏洞报告和记录。


鉴于这个原因,RBS这样的公司才涌现出来,来监视各种漏洞报告来源,获取更为全面准确的漏洞整体概况。


因为漏洞报告往往混乱而不完整,包含有非英语的语源,所以漏洞整体概况的获取并非仅仅是跟踪多个源那么简单。虽然有人觉得CVE/NVD解决方案已经足够好,但基于黑客攻击的数据泄露事件数量所反映出来的现实却不是这样的。


今天这种强敌环伺的计算环境里,来自全世界的攻击层出不穷,公司企业采用不实的漏洞情报可能会陷入不必要的安全风险之中。


另一个问题是漏洞披露——软件供应商和开发人员在通知客户,其所用软件是否存在漏洞这个问题上并不协同。


《2018漏洞数据库年中速查报告》显示,48.5%的漏洞如今是以协同方式披露的,情况好于2017年。


但今年上半年披露的漏洞中仍有25.5%至今尚无已知解决方案,无论是软件补丁,还是降低漏洞严重性的缓解措施,都没有。


或许有人认为,漏洞数量的整体逐步上升可被理解为好消息,是有部分研究人员以披露漏洞为职责的表现。


虽然某种程度上这么理解也不算错误,但该报告估测,出自蓬勃发展的漏洞奖励项目的协同披露仅占13.1%。同时,近1/3的漏洞是有公开的漏洞利用程序的。


虽然RBS有营销自身研究之嫌,但很明显,公司企业应将眼光放宽到主流漏洞数据源之外。


我们一直都观察到有很多公司依然依赖CVE和NVD进行漏洞跟踪,虽然这些美国政府支持的组织继续收录不全可识别漏洞。


《2018漏洞数据库年中速查报告》原文:


https://pages.riskbasedsecurity.com/2018-midyear-vulnerability-quickview-report



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存