本文系商业周刊App付费文章,禁止转载。
中国的系统证明了美国有进步的空间
“我很恐慌,因为后果最严重的漏洞被我们收录得最少”
2017年3月,阿帕奇软件基金会(Apache Software Foundation)宣布其软件产品存在一个高危漏洞。伊夸费克斯公司(Equifax Inc.)没有及时打补丁。于是这个漏洞成了伊夸费克斯公司的“阿喀琉斯之踵”,导致美国1.45亿人的敏感信息被窃。我们至今仍不知是谁攻击了伊夸费克斯,只知道,试图抵御这些攻击的中国网络安全公司都已先行一步。阿帕奇公告发布不到一天,该漏洞的具体信息就已发布到中国国家漏洞数据库(National Vulnerability Database),美国的官方数据库则是到三天后才收录了这些信息。而这时,研究人员已发现全球出现了一大波利用该错误代码进行的黑客攻 击。
中国优势
网络安全公司Recorded Future 10月19日发表的一篇研究文章显示,通常来说中国的领先优势要大很多。该文章分析了过去两年中美两国数据库记录的17940个漏洞,发现中国发布新出现的漏洞平均要比美方早20天。“这种时间上的差异让人有点难以接受,”Recorded Future首席执行官克里斯托弗·阿尔伯格(Christopher Ahlberg)表示,“黑客利用漏洞的速度是很快的,因为他们知道侵入系统的最佳方式之一就是找到没打补丁的漏 洞。”
与美国相比,中国在网络安全漏洞发布时间上有优势
Recorded Future这篇研究文章不过是美国软件漏洞公告系统混乱落后的最新例证罢了。美国国家漏洞数据库(NVD)由美国商务部下属的国家标准与技术研究院(National Institute of Standards and Technology)运营,以非营利机构麦特公司(Mitre Corp.)的“公共漏洞与暴露”(CVE)目录为基础创立。麦特公司在1999年创建了这个目录,专业人士在上面能查到不同别名的网络威胁的统一名称。2005年创建的NVD则加上了这些网络威胁的内容与来源,方便各机构进一步了解漏洞。所以对于想维护网络安全的人来说,这应该是个黄金标准。
美国国家漏洞数据库数据提交过程
然而,这个数据库依靠的是用户主动提交,其中大多数来自出错软件的开发者。中国数据库的来源则更广泛,采集方法也更多样,其中包括技术测试。NVD的监管部门负责人马特·肖尔(Matt Scholl)表示,美国的流程能保证漏洞报告的来源可靠,“这是在速度和准确之间的一项取舍”。
改进空间
美国的漏洞公告系统亟待更新,才能应对工业控制系统、医疗设备和联网家电中新出现的威胁与漏洞,速度快慢不过是其中的一个问题。Recorded Future的研究文章发现,中国数据库收录的CVE项目中有1746项美国无一数据库收录,而且NVD的表的表现甚至还不如一些商业服务机构。弗吉尼亚州里士满的咨询公司Risk Based Security分析显示,2017上半年,该公司负责维护的数据库VulnDB发布了9690个漏洞,较同期NVD多出4092个。
据Risk Based Security估算,只靠CVE系统的机构会错过近一半的漏洞披露。VulnDB记录也显示,2017年上半年报告的软件漏洞较2016年同期增加了29%。PTC首席安全官约书亚·柯曼(Joshua Corman)表示,随着联网家电和其他物联网产品不断发展,软件漏洞的增速也不断加快。
中国和美国漏洞报告时间轴
柯曼表示,政府的系统仍重点关注商业软件漏洞,对工业控制系统和医疗设备的覆盖不足。有关漏洞影响及严重程度的评估体系也没有跟上科技发展。比如有的漏洞让应用程序崩溃,在影响和严重性方面评分较低,但它们却可能导致自动驾驶汽车或智能医疗设备出现致命问题。“我很恐慌,因为后果最严重的漏洞被我们收录得最少,”柯曼说,“病床边的氧气泵一旦停止,就会有病人死亡;涡轮机万一出错,就会发生爆炸。”
2017年3月,美国众议院能源和商务委员会(House Committee on Energy and Commerce)致信麦特公司与负责监管麦特公司运营CVE计划事项的美国国土安全部(Department of Homeland Security),要求提供麦特公司在保护美国网络安全、增强美国网络安全实践方面的信息。国会议员在信中写道:“联网设备与服务中爆发了大量与CVE项目缺点有关的漏洞,虽然势头迅猛,但并不是一夜间出现的。”从2016年开始,麦特公司为了提高速度、扩大覆盖面,特准许更多供应商与研究人员向CVE系统报告漏洞。协调有序的漏洞披露(比如10月16日公布的公共无线网络安全的漏洞)表明网络安全的链条正在按计划运作,软件制造商有机会提前做出反应。
柯曼表示,IT界或许需要在人力或资金方面贡献更多力量。Recorded Future首席数据科学家比尔·拉德(Bill Ladd)提出一条不切实际的捷径:派实习生直接搬中国数据库的内容。他说:“我觉得这项任务清晰明了,而且会尽可能的全面详尽。”至少中国的系统证明了美国有进步的空间。
撰文:Dune Lawrenc
