E安全6月9日讯 美国国家信息安全漏洞数据库（简称NVD）是目前最为出色的可利用软件安全缺陷信息披露平台之一，使用的是安全内容自动化协议(SCAP)。NVD包括数据库与安全相关的软件缺陷，错误配置，产品名称，影响范围等等。目前参与漏洞披露流程的各主要厂商包括谷歌、苹果、微软以及甲骨文等核心技术企业。

根据美国网络安全与暗网情报企业Recorded Future公司的研究结果显示，在发现可资利用的软件漏洞到相关信息最终发布之间，NVD面临着约七天的滞后时长，并且据Recorded Future公司分析这个时间仍在延长。

Recorded Future公司首席数据科学家比尔·莱德在接受采访时解释称，“尽管国家安全漏洞数据库在很大程度上能够作为安全漏洞信息的核心来源，但实际情况是，在NVD发布漏洞相关信息之前，大量漏泄资讯早已得到披露。目前网络安全敌对阵营正对此进行监控并利用。”

也就是说，在NVD发布漏洞相关信息之前，大量漏泄资讯早已得到披露。对网络攻击者而言，七天时间也足够其充分对漏洞进行利用并实现入侵。

有时候，这些漏洞信息会被抢先发布在地下论坛当中，而此类地下论坛则身处暗网之内。众多犯罪分子在这里分享如何入侵特定系统的敏感信息。

Recorded Future公司发现，2016年至2017年期间，约有5%的NVD已发布漏洞曾在深网与暗网中进行过详尽披露。

从漏洞被初步发现到相关信息的具体披露，其实际时间与速度会受到多种不同因素的影响。一般来说，安全漏洞的严重程度，即可资利用的范围以及易受此影响的受众规模，会在很大程度上决定信息共享的速度。

同时，美国政府的漏洞信息共享模式面临着一系列挑战，例如目前一部分工作仍然需手动方式处理。

因此，企业及各政府机构不应依赖NVD作为了解自身网络基础设施、产品、数字化服务以及其它业务流程所面临新兴风险的最快捷方式。企业需要掌握整体性安全态势感知，并利用NVD上发布的内容实现自我保护。

关注E安全资讯，看态势感知如何实现？