精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當前位置:安全行業動態 → 正文

中國網絡安全漏洞披露效率遠超美國

責任編輯:editor004 |來源:企業網D1Net  2017-10-25 11:19:41 本文摘自:E安全

網絡安全公司Recorded Future發布的研究報告顯示,中國國家信息安全漏洞庫(CNNVD)的平均效率比美國計算機應急響應小組(U.S.-CERT)高出近兩倍。軟件漏洞公開披露后,美國CERT平均花費33天時間完成編目程序,并在美國國家漏洞庫(NVD)創建條目,而中國CNNVD完成這些流程的平均時間僅為13天。

美國NVD和CNNVD漏洞披露速度差距多大?

Recorded Future分析了NVD和CNNVD兩年的漏洞報告數據。研究人員寫到,75%初次披露的漏洞6天內被CNNVD收錄,而美國NVD得花20天時間。90%的漏洞在初次披露后的18天內被CNNVD收錄,而NVD則要用92天。

協調披露的情況下(只有向NVD報告后才公開發布),CNNVD也只稍微比美國滯后。

當廠商未與NVD密切協調時,NVD要花38天時間報告75%的公開漏洞,125天收錄90%的漏洞,而CNNVD分別花費的時間為7天和23天。

研究人員列舉了兩大案例,例如提權漏洞“臟牛”(CVE-2016-5195)。研究人員發現該漏洞后于2016年10月19日披露,2天內,多個信息安全來源也立即披露漏洞,最初的報告被翻譯為俄語發布在俄羅斯犯罪論壇上。6天之后,PoC代碼出現在Pastebin上。11月10日,NVD初步公開此漏洞,而在這兩周之前就已出現可能的漏洞利用代碼。CNNVD在初次披露后兩天便披露了該漏洞,比NVD超前20天。

  哪怕幾天時間高危漏洞都可能帶來重大影響。

黑客在Equifax數據泄露中利用的漏洞CVE-2017-5638,其最初公開(Apache Software Foundation)時間為2017年3月7日,多個來源很快披露了此漏洞。 NVD于3月10日收錄了該漏洞,而3月7日至3月10日這三天,就已在各處披露了數百次。CNNDV披露此漏洞的時間為3月7日。

CNNVD主動搜索漏洞信息

Recorded Future通過分析后總結稱,之所有出現如此大的差距是因為CNNVD主動搜索網絡和其它信息來源,查找漏洞信息,而NVD則會等待廠商的報告通過通用漏洞披露(CVE,由MITRE公司管理)數據庫進行處理。

NVD網站寫到,NVD會分析已在CVE字典中發布的CVE。研究人員發現,中國通過網絡上廣泛的漏洞信息來源及時優先披露,并不依賴行業自愿報告。相較而言,美國系統太過死板。

研究總結稱,NVD之所以延遲數周、數月,其原因在于NIST和MITRE等待廠商自愿提交漏洞相關信息。MITRE負責管理進程,但不會強制及時提交到CVE字典。NVD將CVE字典作為唯一來源,其最終結果是美國政府根本不具備全面的網絡安全漏洞數據庫。

報告全文:
https://www.recordedfuture.com/chinese-vulnerability-reporting/

關鍵字:NISTPastebinzniu

本文摘自:E安全

x 中國網絡安全漏洞披露效率遠超美國 掃一掃
分享本文到朋友圈
當前位置:安全行業動態 → 正文

中國網絡安全漏洞披露效率遠超美國

責任編輯:editor004 |來源:企業網D1Net  2017-10-25 11:19:41 本文摘自:E安全

網絡安全公司Recorded Future發布的研究報告顯示,中國國家信息安全漏洞庫(CNNVD)的平均效率比美國計算機應急響應小組(U.S.-CERT)高出近兩倍。軟件漏洞公開披露后,美國CERT平均花費33天時間完成編目程序,并在美國國家漏洞庫(NVD)創建條目,而中國CNNVD完成這些流程的平均時間僅為13天。

美國NVD和CNNVD漏洞披露速度差距多大?

Recorded Future分析了NVD和CNNVD兩年的漏洞報告數據。研究人員寫到,75%初次披露的漏洞6天內被CNNVD收錄,而美國NVD得花20天時間。90%的漏洞在初次披露后的18天內被CNNVD收錄,而NVD則要用92天。

協調披露的情況下(只有向NVD報告后才公開發布),CNNVD也只稍微比美國滯后。

當廠商未與NVD密切協調時,NVD要花38天時間報告75%的公開漏洞,125天收錄90%的漏洞,而CNNVD分別花費的時間為7天和23天。

研究人員列舉了兩大案例,例如提權漏洞“臟牛”(CVE-2016-5195)。研究人員發現該漏洞后于2016年10月19日披露,2天內,多個信息安全來源也立即披露漏洞,最初的報告被翻譯為俄語發布在俄羅斯犯罪論壇上。6天之后,PoC代碼出現在Pastebin上。11月10日,NVD初步公開此漏洞,而在這兩周之前就已出現可能的漏洞利用代碼。CNNVD在初次披露后兩天便披露了該漏洞,比NVD超前20天。

  哪怕幾天時間高危漏洞都可能帶來重大影響。

黑客在Equifax數據泄露中利用的漏洞CVE-2017-5638,其最初公開(Apache Software Foundation)時間為2017年3月7日,多個來源很快披露了此漏洞。 NVD于3月10日收錄了該漏洞,而3月7日至3月10日這三天,就已在各處披露了數百次。CNNDV披露此漏洞的時間為3月7日。

CNNVD主動搜索漏洞信息

Recorded Future通過分析后總結稱,之所有出現如此大的差距是因為CNNVD主動搜索網絡和其它信息來源,查找漏洞信息,而NVD則會等待廠商的報告通過通用漏洞披露(CVE,由MITRE公司管理)數據庫進行處理。

NVD網站寫到,NVD會分析已在CVE字典中發布的CVE。研究人員發現,中國通過網絡上廣泛的漏洞信息來源及時優先披露,并不依賴行業自愿報告。相較而言,美國系統太過死板。

研究總結稱,NVD之所以延遲數周、數月,其原因在于NIST和MITRE等待廠商自愿提交漏洞相關信息。MITRE負責管理進程,但不會強制及時提交到CVE字典。NVD將CVE字典作為唯一來源,其最終結果是美國政府根本不具備全面的網絡安全漏洞數據庫。

報告全文:
https://www.recordedfuture.com/chinese-vulnerability-reporting/

關鍵字:NISTPastebinzniu

本文摘自:E安全

電子周刊
回到頂部

關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 黄龙县| 婺源县| 义马市| 通州市| 平利县| 乌拉特前旗| 兴国县| 滦南县| 兰坪| 甘肃省| 恩施市| 南靖县| 本溪市| 房产| 巴南区| 凤城市| 孝感市| 扎赉特旗| 灵台县| 赤峰市| 烟台市| 兴义市| 环江| 沈阳市| 磐安县| 德州市| 麻城市| 珠海市| 大埔县| 高唐县| 洞头县| 锡林郭勒盟| 大城县| 太白县| 郑州市| 涿鹿县| 宝清县| 黄石市| 黔江区| 贵德县| 玉龙|