本篇文章1453字,读完约4分钟
信息图片:9月17日,在上海举办的2017年互联网安全博览会暨互联网安全成果展上,观众在360展位上为一辆互联网安全概念车拍照。概念车受到互联网安全保护系统的保护,防止黑客在联网后控制它。新华社编辑杜晓义
根据美国媒体10月24日的报道,阿帕奇软件基金会在今年3月宣布,它发现了其软件中的一个主要缺陷。现在,这个缺陷是众所周知的,并且可以被认为是Iquifax没有修复的致命钥匙:黑客可以窃取1.45亿美国人的敏感信息。防范黑客攻击的中国公司领先一步。就在阿帕奇宣布这一消息的第二天,中国国家安全信息漏洞数据库(CNNVD)发布了软件漏洞的详细信息。仅仅三天后,它出现在美国官方数据库中。那时,研究人员已经用这个错误代码记录了一波世界性的黑客攻击。
根据彭博新闻网站10月19日的报道,根据互联网安全公司“记录未来”10月19日发布的一份研究报告,中国的优势通常非常大。根据该报告,根据对过去两年中添加到中美两国数据库中的17940个新漏洞的分析,双方发布新发现的漏洞的平均时间为20天。
“记录未来”的首席执行官克里斯托弗·阿尔伯格说:“时间差距有点残酷。黑客利用漏洞的速度非常快,因为黑客知道进入计算机系统的最佳方式是找到未修补的漏洞。”
“记录未来”的发现只是美国软件漏洞公共报告系统正在苦苦挣扎的最新证据。美国商务部国家标准与技术研究所实施的国家脆弱性数据库(NVD)项目,随时建立和更新由非营利公司Mate维护的常见脆弱性和风险暴露目录(CVEs)。当Mate在1999年创建这个目录时,它为专家提供了被各种别名替换的常见漏洞威胁的名称。自2005年以来,国家脆弱性数据库也增加了组织可以用来解决脆弱性的内容和资源。这是保持网络安全更新的参考标准。
然而,该数据库依赖于主要来自漏洞软件制造商的自愿漏洞提交。中国人使用更广泛的资源和方法,包括技术测试。
速度或缺乏速度只是工业控制系统、医疗和健康设备以及联网家用电器迫切需要更新以解决新威胁和漏洞的问题之一。《记录未来》的分析报告发现,中国数据库中的1746个“常见漏洞和风险暴露”根本没有出现在美国数据库中。美国国家脆弱性数据库也落后于商业服务。
根据风险安全咨询公司的评估,完全依赖“常见漏洞和风险暴露”系统的机构将错过近一半已披露的漏洞。根据风险安全咨询公司的跟踪记录,与去年同期相比,2017年上半年报告的安全漏洞增加了29%。软件公司PTC的首席安全官乔舒亚·科尔曼(Joshua Coleman)表示,随着互联网设备和所谓的物联网的发展,整体安全漏洞的增长正在加速。
然而,科尔曼说,政府系统仍然容易受到商业软件漏洞的影响,工业控制系统和医疗卫生设备没有得到充分保护。软件漏洞的影响和严重性的评分系统也跟不上技术发展的步伐。导致应用瘫痪的缺陷得分相对较低,这可能会给自动驾驶汽车或智能医疗设备带来破坏性问题。科尔曼说:“让我害怕的是,导致最严重错误后果的漏洞也是最不受关注的。如果是医用泵,那将是致命的。如果是涡轮,就会发生爆炸。”
今年3月,美国众议院能源和商业委员会致函马特和美国国土安全部(负责监督马特的“常见漏洞和风险暴露”项目合同),要求提供马特为保护和改善美国网络安全所采取措施的信息。
科尔曼说,信息技术界可能不得不在人力或资本方面做出更多贡献。未来记录的首席数据科学家比尔·拉德提出了一个明确的捷径:派实习生复制中文数据库。他说:“我认为任务非常明确,应该尽可能全面。中国的体系至少保证了改进的空间。”(编译/郑)
