IBM稱今年安全漏洞風險被低估
責編:admin |2014-10-20 16:00:52基于2014年上半年收集的數據,IBM X-Force的安全研究人員近日預測,公開報道的漏洞數量今年將降至 8000個以下,這一數量比前兩年均減少數百個。但IBM的研究人員還表示,對漏洞嚴重性進行評級的系統通常不能反映出它們對用戶構成的真正風險。
根據IBM這份報告,基于CVSS的評分,今年上半年披露的漏洞中有67%的漏洞可被歸入中等風險水平。IBM X-Force小組從軟件廠商、安全行業郵件列表以及其他來源公布的報告收集了大約3900份安全漏洞報告。研究團隊在近日公布的報告中指出,如果漏洞披露以同樣的速度持續下去,那么2014年的漏洞數量將降至8000個以下。
過去,安全專家曾爭辯稱,漏洞的整體數量與其影響并不相關。然而,盡管諸如通用安全漏洞評分系統(CVSS)等嘗試將漏洞嚴重性評估方法標準化,但仍然有許多例子顯示,某些漏洞所構成的真正風險并未被準確表示出來。這一評分系統是由美國國家基礎設施顧問委員會開發、國際計算機網絡安全應急組織聯盟維護的一個開放并被各產品廠商免費采用的行業標準。CVSS從基本評估、時效性評估和環境評估三個方面進行安全評估,最終得到一個介于1到10之間的數字,分值越大,風險越大。
一個最好的例證就是今年4月初在OpenSSL庫中發現的“心臟流血”漏洞,攻擊者能利用該缺陷從網絡服務器的內存中竊取敏感信息。這一漏洞獲得了CVSS基本評分5分(總分為10分),使其歸入中等風險分類。而事實上,“心臟流血”漏洞的真正影響比CVSS評估的分數所揭示的要大得多。