天岳门户网站
天岳门户网站 >> 军事 >> 「五星如何开户」中国网络安全漏洞披露效率远超美国

「五星如何开户」中国网络安全漏洞披露效率远超美国

日期:2020-01-11 13:31:17 阅读数:113

「五星如何开户」中国网络安全漏洞披露效率远超美国

五星如何开户,recorded future分析了nvd和cnnvd两年的漏洞报告数据。研究人员写到,75%初次披露的漏洞6天内被cnnvd收录,而美国nvd得花20天时间。90%的漏洞在初次披露后的18天内被cnnvd收录,而nvd则要用92天。

协调披露的情况下(只有向nvd报告后才公开发布),cnnvd也只稍微比美国滞后。

当厂商未与nvd密切协调时,nvd要花38天时间报告75%的公开漏洞,125天收录90%的漏洞,而cnnvd分别花费的时间为7天和23天。

研究人员列举了两大案例,例如提权漏洞“脏牛”(cve-2016-5195)。研究人员发现该漏洞后于2016年10月19日披露,2天内,多个信息安全来源也立即披露漏洞,最初的报告被翻译为俄语发布在俄罗斯犯罪论坛上。6天之后,poc代码出现在pastebin上。11月10日,nvd初步公开此漏洞,而在这两周之前就已出现可能的漏洞利用代码。cnnvd在初次披露后两天便披露了该漏洞,比nvd超前20天。

cnnvd主动搜索漏洞信息

recorded future通过分析后总结称,之所有出现如此大的差距是因为cnnvd主动搜索网络和其它信息来源,查找漏洞信息,而nvd则会等待厂商的报告通过通用漏洞披露(cve,由mitre公司管理)数据库进行处理。

nvd网站写到,nvd会分析已在cve字典中发布的cve。研究人员发现,中国通过网络上广泛的漏洞信息来源及时优先披露,并不依赖行业自愿报告。相较而言,美国系统太过死板。

研究总结称,nvd之所以延迟数周、数月,其原因在于nist和mitre等待厂商自愿提交漏洞相关信息。mitre负责管理进程,但不会强制及时提交到cve字典。nvd将cve字典作为唯一来源,其最终结果是美国政府根本不具备全面的网络安全漏洞数据库。

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。