新闻快讯
< >

中国网络安全漏洞披露效率远超美国

E安全10月25日讯 网络安全公司Recorded Future发布的研究报告显示,中国国家信息安全漏洞库(CNNVD)的平均效率比美国计算机应急响应小组(U.S.-CERT)高出近两倍。软件漏洞公开披露后,美国CERT平均花费33天时间完成编目程序,并在美国国家漏洞库(NVD)创建条目,而中国CNNVD完成这些流程的平均时间仅为13天。

报告:中国漏洞披露效率远比美国高-E安全

美国NVD和CNNVD漏洞披露速度差距多大?

Recorded Future分析了NVD和CNNVD两年的漏洞报告数据。研究人员写到,75%初次披露的漏洞6天内被CNNVD收录,而美国NVD得花20天时间。90%的漏洞在初次披露后的18天内被CNNVD收录,而NVD则要用92天。

报告:中国漏洞披露效率远比美国高-E安全

协调披露的情况下(只有向NVD报告后才公开发布),CNNVD也只稍微比美国滞后。

当厂商未与NVD密切协调时,NVD要花38天时间报告75%的公开漏洞,125天收录90%的漏洞,而CNNVD分别花费的时间为7天和23天。

报告:中国漏洞披露效率远比美国高-E安全

研究人员列举了两大案例,例如提权漏洞“脏牛”(CVE-2016-5195)。研究人员发现该漏洞后于2016年10月19日披露,2天内,多个信息安全来源也立即披露漏洞,最初的报告被翻译为俄语发布在俄罗斯犯罪论坛上。6天之后,PoC代码出现在Pastebin上。11月10日,NVD初步公开此漏洞,而在这两周之前就已出现可能的漏洞利用代码。CNNVD在初次披露后两天便披露了该漏洞,比NVD超前20天。

报告:中国漏洞披露效率远比美国高-E安全

哪怕几天时间高危漏洞都可能带来重大影响。

黑客在Equifax数据泄露中利用的漏洞CVE-2017-5638,其最初公开(Apache Software Foundation)时间为2017年3月7日,多个来源很快披露了此漏洞。 NVD于3月10日收录了该漏洞,而3月7日至3月10日这三天,就已在各处披露了数百次。CNNDV披露此漏洞的时间为3月7日。

报告:中国漏洞披露效率远比美国高-E安全

CNNVD主动搜索漏洞信息

Recorded Future通过分析后总结称,之所有出现如此大的差距是因为CNNVD主动搜索网络和其它信息来源,查找漏洞信息,而NVD则会等待厂商的报告通过通用漏洞披露(CVE,由MITRE公司管理)数据库进行处理。

NVD网站写到,NVD会分析已在CVE字典中发布的CVE。研究人员发现,中国通过网络上广泛的漏洞信息来源及时优先披露,并不依赖行业自愿报告。相较而言,美国系统太过死板。

研究总结称,NVD之所以延迟数周、数月,其原因在于NIST和MITRE等待厂商自愿提交漏洞相关信息。MITRE负责管理进程,但不会强制及时提交到CVE字典。NVD将CVE字典作为唯一来源,其最终结果是美国政府根本不具备全面的网络安全漏洞数据库。

报告全文:
https://www.recordedfuture.com/chinese-vulnerability-reporting/ 

相关阅读:

美司法部发布《在线系统漏洞披露计划框架》,帮助企业建立漏洞披露计划
美国会议员提出“漏洞披露法案”  仍考虑非中立实体授权

美国Equifax数据泄露事件形势进一步恶化:被曝今年3月曾遭黑客入侵

美国征信企业Equifax移动应用已从苹果AppStore和GooglePlay中下架
美国信用巨头Equifax上周1.43亿用户信息外泄后,发布查询服务网站遭用户质疑
美国征信企业Equifax遭遇黑客攻击,1.43亿美国公民的记录泄露

国内安卓用户小心!恶意软件ZNIU用“脏牛漏洞”Root安卓设备,植入后门

Linux内核9年高龄的“脏牛”0day漏洞POC测试报告
Linux团队发布CVE-2016-5195“脏牛漏洞”补丁

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。