研究人员基于风险的安全公司(RBS)声称,2018年上半年报告了软件漏洞的记录,但其中很大一部分将不会出现在任何主流漏洞跟踪列表中。
根据该公司的估计,从年初到6月30日,它共记录了10,644个漏洞,其中16.6%的CVSSv2评分为9.0或更高(高至严重级别),这意味着他们需要紧急修补。
但是,其中有3,279个没有出现在官方数据库中,例如常见漏洞和暴露(CVE)以及美国国家漏洞数据库(NVD),这可能使公司对其存在感到茫然。
在这个记录较少的组中,44.2%的严重程度在9.0到10.0之间。
RBS首席研究官Carsten Eiram说:“虽然在管理和确定漏洞优先级时考虑其他标准而不仅仅是CVSS评分是非常重要的,但如果组织不了解对其资产构成风险的更高严重性漏洞,则存在很大问题。”
苏格兰皇家银行声称,其根本原因在于,随着漏洞报告的增加,它也变得更加分散。今天,漏洞正在“随处可见”。
这就是为什么苏格兰皇家银行等公司如雨后春笋般涌现,以监控众多来源,以获得更准确的瑕疵总数。
这并不像跟踪多个来源那么简单,因为漏洞报告通常令人困惑和不完整,包括英语以外语言的来源。“虽然有人认为CVE / NVD解决方案足够好,但基于黑客攻击的数据泄露数量却得出了不同的结论,”RBS的漏洞情报副总裁Brian Martin表示。
“在当今充满敌意的计算环境中,来自世界各地的不间断攻击,使用低于标准的漏洞情报的组织正在不必要地承担重大风险。”
另一个问题是披露 - 协调软件供应商和开发人员在告知客户他们使用的软件存在漏洞时的情况。
2018年年中VulnDB QuickView报告的好消息是,48.5%现在以协调的方式披露,比2017年有所改善。
然而,在1月到6月之间,25.5%的缺陷没有已知的解决方案,无论是以软件补丁的形式还是减轻缺陷的严重程度。
可以说,漏洞数量的总体逐渐上升应该被解释为好消息,这反映了小军团的研究人员将他们的工作找到了。
报告的作者估计,虽然这在某种程度上可能是正确的,但只有13.1%的协调披露来自繁荣的臭虫赏金计划部门。与此同时,已知几乎三分之一的漏洞都存在公共漏洞。
抛开苏格兰皇家银行的研究销售宣传,显然组织应该超越主流漏洞数据源。
“尽管美国政府资助的组织继续代表可识别的漏洞,但我们仍然看到仍有大量公司依赖CVE和NVD进行漏洞跟踪,”马丁说。
领取专属 10元无门槛券
私享最新 技术干货