7 成半漏洞未發表就在黑市公開!

7 成半漏洞未發表就在黑市公開!

雖然《 PCM 》不時會報道有關系統漏洞的情報,不過其實那只不過是冰山一角。據網絡保安公司 Recorded Future 一份報告指出,原來有 75% 的漏洞,是在被公布之前,就已經在互聯網或黑市中流傳,令駭客有機可乘。

Recorded Future 研究了美國國家標準技術研究所( NIST )的國家漏洞數據庫( NVD ),在 2016-2017 年間所公布的 12,517 個漏洞,由被發現到通過 NVD 公布之間相隔的日數。他們發現,原來有 75% 的漏洞是在正式公布之前,就已經有情報在網上流出,而相隔日數的中位數為 7 日。不過當中有 25% 原來超過 50 日才被公布,而超過 170 日才公布的漏洞就有一成。 Recorded Future 又發現,漏洞由流出到被公布的相隔日數,有擴大的趨勢,情況令人憂慮。

漏洞發現到公布的相隔時間愈長,駭客愈有機可乘。

漏洞發現到公布的相隔時間愈長,駭客愈有機可乘。

報告又指出,有 5% 漏洞的細節情報在 NVD 公布之前就在 Deep Web 和黑市網絡中流傳,而且危險程度比預期為高的。 另外,雖然我們多數倚賴英語情報網來收收集漏洞情報,不過原來有 30% 漏洞,是中國國家營運的漏洞情報資料庫更早公布的。

而以廠商來分類,從發現到官方公布的相隔日數,Adobe 平均為 1 日, Microsoft 為 2 日,但 Oracle 、 Apple 和 Google 就超過 5 日。