中國發(fā)現網(wǎng)絡(luò )安全漏洞有多快？美媒：領(lǐng)先美國20天

　　美媒稱(chēng)，今年3月，阿帕奇軟件基金會(huì )宣布它發(fā)現了其軟件中的一個(gè)重大瑕疵?，F在，這個(gè)瑕疵已眾所周知，堪稱(chēng)伊奎法克斯公司未修補的致命要害：黑客可借此盜走1.45億美國人的敏感信息。而防范黑客襲擊的中國公司則領(lǐng)先了一步。就在阿帕奇宣布這個(gè)消息一天之內，中國國家安全信息漏洞庫(CNNVD)就發(fā)表了這個(gè)軟件漏洞的詳細內容;而三天后它才出現在美國的官方數據庫中。那時(shí)，研究人員已記錄到全球利用這個(gè)錯誤代碼的黑客襲擊潮。

　　隱藏在網(wǎng)絡(luò )中的黑客也有黑白之分。“白帽”黑客和“黑帽”黑客像是電影中正邪對立的兩大陣營(yíng)，憑借著(zhù)各自的技術(shù)，在互聯(lián)網(wǎng)江湖的暗涌里進(jìn)行著(zhù)比拼。“白帽”為安全而技術(shù)，是網(wǎng)絡(luò )安全的建設者;“黑帽”為利益而技術(shù)，是網(wǎng)絡(luò )安全的破壞者。兩者都有著(zhù)高超的技術(shù)積累，以及對網(wǎng)絡(luò )漏洞極為敏感的嗅覺(jué)。在地下黑色產(chǎn)業(yè)鏈中，惡意利用漏洞變現的速度驚人，一個(gè)高危漏洞在黑市上可以買(mǎi)到六位數的高價(jià)。

　　資料圖：隱藏在網(wǎng)絡(luò )中的黑客也有黑白之分。

　　據美國彭博新聞社網(wǎng)站10月19日報道，根據網(wǎng)絡(luò )安全公司--“記錄未來(lái)”公司10月19日發(fā)表的研究報告，中國的優(yōu)勢通常非常大。報告顯示：根據兩年來(lái)中國與美國數據庫新增17940個(gè)漏洞的分析，雙方公布新發(fā)現漏洞信息的時(shí)間平均相距20天。

　　“記錄未來(lái)”公司首席執行官克里斯托弗·阿爾伯格說(shuō)：“時(shí)間差距有點(diǎn)兒殘酷。黑客利用漏洞的速度極其迅速，這是因為黑客知道進(jìn)入電腦系統的最佳途徑就是找到未修補的漏洞。”

　　“記錄未來(lái)”公司的研究結果只是最新證據，說(shuō)明美國軟件漏洞的公開(kāi)報告系統處于艱難掙扎狀態(tài)。美國商務(wù)部國家標準與技術(shù)研究所開(kāi)展的項目--美國國家漏洞數據庫(NVD)建立并隨時(shí)更新“常見(jiàn)漏洞和風(fēng)險暴露”(CVEs)編目，由非營(yíng)利公司邁特公司維護。1999年邁特公司創(chuàng )建此編目時(shí)向專(zhuān)家提供了用各種化名代替的常見(jiàn)漏洞威脅的名稱(chēng)。國家漏洞數據庫從2005年起還增加了機構可用于解決漏洞的內容和資源。保持網(wǎng)絡(luò )安全更新應以此為參照標準。

　　但是，數據庫依賴(lài)自愿式漏洞提交，主要來(lái)源是漏洞軟件制造商。中國人使用更廣泛的來(lái)源和方法，包括技術(shù)測試。

　　速度，或者說(shuō)缺乏速度，只是工業(yè)控制系統、醫療衛生器材和聯(lián)網(wǎng)家電迫切需要更新以解決新型威脅和漏洞所面臨的問(wèn)題之一。“記錄未來(lái)”公司的分析報告發(fā)現：中國數據庫中的1746個(gè)“常見(jiàn)漏洞和風(fēng)險暴露”根本未出現在美國的數據庫中。而美國國家漏洞數據庫在商業(yè)服務(wù)方面也落后了。

　　據風(fēng)險安全咨詢(xún)公司評估，完全依賴(lài)“常見(jiàn)漏洞和風(fēng)險暴露”系統的機構將漏掉近一半已披露的漏洞。根據風(fēng)險安全咨詢(xún)公司的跟蹤記錄，2017年上半年報告的安全漏洞比去年同期增加了29%。軟件公司參數技術(shù)公司(PTC)首席安全官喬舒亞·科爾曼說(shuō)，隨著(zhù)聯(lián)網(wǎng)家電以及所謂物聯(lián)網(wǎng)的發(fā)展，總體安全漏洞增長(cháng)在加速。

　　不過(guò)，科爾曼說(shuō)政府系統仍?xún)A向于商業(yè)軟件漏洞，工業(yè)控制系統和醫療衛生器材得不到充分保護。軟件漏洞影響及其嚴重程度的打分系統也未跟上技術(shù)發(fā)展。導致應用癱瘓的缺陷相對得分較低，而這種事情可能給自動(dòng)駕駛汽車(chē)或智能醫療器材造成毀滅性問(wèn)題?？茽柭f(shuō)：“令我驚恐的是，導致最嚴重失誤后果的漏洞也是最不受重視的。如果是醫用泵，那會(huì )致命。如果是渦輪機，那會(huì )發(fā)生爆炸。”

　　今年3月，眾議院能源和商務(wù)委員會(huì )致信邁特公司和美國國土安全部(負責監管邁特公司的“常見(jiàn)漏洞和風(fēng)險暴露”項目合同)，要求提供邁特公司采取了哪些措施保護和提高美國的網(wǎng)絡(luò )安全行為。

　　科爾曼說(shuō)信息技術(shù)界或許必須在人力或資金方面多作貢獻。“記錄未來(lái)”公司首席數據學(xué)家比爾·拉德提出了一條明確的捷徑：派實(shí)習生去復制中國數據庫的東西。他說(shuō)：“我想任務(wù)很明確，要盡可能全面。中國的系統至少保證了有改進(jìn)余地。”