压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

安全公司 Risk Based Security (RBS) 估算，從今年元旦到6月30日記錄的10,644個(gè)漏洞中，其中16.6%的CVSSv2評(píng)分高于9.0(高危漏洞級(jí)，需馬上打補(bǔ)丁的那種)。

然而，這些漏洞中有3,279個(gè)既未曝光于通用漏洞庫(kù)(CVE)，也未見(jiàn)于美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)，甚至沒(méi)有一個(gè)主流官方漏洞數(shù)據(jù)庫(kù)收錄過(guò)。公司企業(yè)對(duì)這些漏洞的存在一無(wú)所知。

而且，這些未得到官方收錄的漏洞中，有44.2%的嚴(yán)重性評(píng)分在9.0到10.0之間。

雖然漏洞管理和評(píng)級(jí)不僅僅要考慮CVSS評(píng)分之類(lèi)的標(biāo)準(zhǔn)，但如果公司企業(yè)不知道可能給自身資產(chǎn)帶來(lái)風(fēng)險(xiǎn)的高危漏洞，問(wèn)題也是很?chē)?yán)重的。

RBS認(rèn)為，高危漏洞未得到官方收錄的深層原因在于，漏洞報(bào)告增長(zhǎng)的同時(shí)，也在變得更為分散化。時(shí)至今日，哪里都有漏洞報(bào)告和記錄。

鑒于這個(gè)原因，RBS這樣的公司才涌現(xiàn)出來(lái)，來(lái)監(jiān)視各種漏洞報(bào)告來(lái)源，獲取更為全面準(zhǔn)確的漏洞整體概況。

因?yàn)槁┒磮?bào)告往往混亂而不完整，包含有非英語(yǔ)的語(yǔ)源，所以漏洞整體概況的獲取并非僅僅是跟蹤多個(gè)源那么簡(jiǎn)單。雖然有人覺(jué)得CVE/NVD解決方案已經(jīng)足夠好，但基于黑客攻擊的數(shù)據(jù)泄露事件數(shù)量所反映出來(lái)的現(xiàn)實(shí)卻不是這樣的。

今天這種強(qiáng)敵環(huán)伺的計(jì)算環(huán)境里，來(lái)自全世界的攻擊層出不窮，公司企業(yè)采用不實(shí)的漏洞情報(bào)可能會(huì)陷入不必要的安全風(fēng)險(xiǎn)之中。

另一個(gè)問(wèn)題是漏洞披露——軟件供應(yīng)商和開(kāi)發(fā)人員在通知客戶(hù)，其所用軟件是否存在漏洞這個(gè)問(wèn)題上并不協(xié)同。

《2018漏洞數(shù)據(jù)庫(kù)年中速查報(bào)告》顯示，48.5%的漏洞如今是以協(xié)同方式披露的，情況好于2017年。

但今年上半年披露的漏洞中仍有25.5%至今尚無(wú)已知解決方案，無(wú)論是軟件補(bǔ)丁，還是降低漏洞嚴(yán)重性的緩解措施，都沒(méi)有。

或許有人認(rèn)為，漏洞數(shù)量的整體逐步上升可被理解為好消息，是有部分研究人員以披露漏洞為職責(zé)的表現(xiàn)。

雖然某種程度上這么理解也不算錯(cuò)誤，但該報(bào)告估測(cè)，出自蓬勃發(fā)展的漏洞獎(jiǎng)勵(lì)項(xiàng)目的協(xié)同披露僅占13.1%。同時(shí)，近1/3的漏洞是有公開(kāi)的漏洞利用程序的。

雖然RBS有營(yíng)銷(xiāo)自身研究之嫌，但很明顯，公司企業(yè)應(yīng)將眼光放寬到主流漏洞數(shù)據(jù)源之外。

我們一直都觀察到有很多公司依然依賴(lài)CVE和NVD進(jìn)行漏洞跟蹤，雖然這些美國(guó)政府支持的組織繼續(xù)收錄不全可識(shí)別漏洞。

《2018漏洞數(shù)據(jù)庫(kù)年中速查報(bào)告》原文：

https://pages.riskbasedsecurity.com/2018-midyear-vulnerability-quickview-report