华语社10月24日报道 美媒称,今年3月,阿帕奇软件基金会宣布它发现了其软件中的一个重大瑕疵。现在,这个瑕疵已众所周知,堪称伊奎法克斯公司未修补的致命要害:黑客可借此盗走1.45亿美国人的敏感信息。而防范黑客袭击的中国公司则领先了一步。就在阿帕奇宣布这个消息一天之内,中国国家安全信息漏洞库(CNNVD)就发表了这个软件漏洞的详细内容;而三天后它才出现在美国的官方数据库中。那时,研究人员已记录到全球利用这个错误代码的黑客袭击潮。
据美国彭博新闻社网站10月19日报道,根据网络安全公司--“记录未来”公司10月19日发表的研究报告,中国的优势通常非常大。报告显示:根据两年来中国与美国数据库新增17940个漏洞的分析,双方公布新发现漏洞信息的时间平均相距20天。
“记录未来”公司首席执行官克里斯托弗·阿尔伯格说:“时间差距有点儿残酷。黑客利用漏洞的速度极其迅速,这是因为黑客知道进入电脑系统的最佳途径就是找到未修补的漏洞。”
“记录未来”公司的研究结果只是最新证据,说明美国软件漏洞的公开报告系统处于艰难挣扎状态。美国商务部国家标准与技术研究所开展的项目--美国国家漏洞数据库(NVD)建立并随时更新“常见漏洞和风险暴露”(CVEs)编目,由非营利公司迈特公司维护。1999年迈特公司创建此编目时向专家提供了用各种化名代替的常见漏洞威胁的名称。国家漏洞数据库从2005年起还增加了机构可用于解决漏洞的内容和资源。保持网络安全更新应以此为参照标准。
但是,数据库依赖自愿式漏洞提交,主要来源是漏洞软件制造商。中国人使用更广泛的来源和方法,包括技术测试。
速度,或者说缺乏速度,只是工业控制系统、医疗卫生器材和联网家电迫切需要更新以解决新型威胁和漏洞所面临的问题之一。“记录未来”公司的分析报告发现:中国数据库中的1746个“常见漏洞和风险暴露”根本未出现在美国的数据库中。而美国国家漏洞数据库在商业服务方面也落后了。
据风险安全咨询公司评估,完全依赖“常见漏洞和风险暴露”系统的机构将漏掉近一半已披露的漏洞。根据风险安全咨询公司的跟踪记录,2017年上半年报告的安全漏洞比去年同期增加了29%。软件公司参数技术公司(PTC)首席安全官乔舒亚·科尔曼说,随着联网家电以及所谓物联网的发展,总体安全漏洞增长在加速。