行業(yè)動(dòng)態(tài)

最重要的漏洞披露渠道:社交媒體

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-05-12    瀏覽次數(shù):
 

信息來(lái)源:安全牛


一提到漏洞披露,人們首先想到的是漏洞賞金平臺(tái)或者國(guó)家漏洞庫(kù)之類,但事實(shí)上,最重要的、最“及時(shí)”的漏洞披露渠道,往往是社交媒體。

據(jù)美國(guó)能源部太平洋西北國(guó)家實(shí)驗(yàn)室(PNNL)的計(jì)算機(jī)科學(xué)家稱,在政府官方漏洞網(wǎng)站披露軟件漏洞之前,漏洞信息往往已經(jīng)在社交媒體上展開(kāi)討論,這種做法可能構(gòu)成國(guó)家安全威脅,但也為政府網(wǎng)絡(luò)安全提供了一個(gè)機(jī)會(huì),那就是在社交媒體尚更緊密地監(jiān)視關(guān)于軟件漏洞的討論。

PNNL數(shù)據(jù)科學(xué)和分析小組高級(jí)研究科學(xué)家Svitlana Volkova說(shuō):

一些軟件漏洞已被攻擊者作為目標(biāo)并加以利用。我們想看看圍繞這些漏洞的討論是如何演變的,社會(huì)化網(wǎng)絡(luò)安全是一個(gè)巨大的威脅。政府和企業(yè)迫切需要了解、衡量不同類型漏洞如何跨平臺(tái)傳播。

社交媒體(尤其是GitHub)引領(lǐng)漏洞披露潮流

PNNL的研究表明,從2015年到2017年,有四分之一的軟件漏洞討論首先出現(xiàn)在社交媒體網(wǎng)站上,然后才錄入國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD、美國(guó)官方漏洞信息存儲(chǔ)庫(kù))。此外,對(duì)于這部分漏洞,社交媒體上開(kāi)始討論近90天后才能顯示在國(guó)家數(shù)據(jù)庫(kù)中。(上圖)

該研究集中在三個(gè)社交平臺(tái)(GitHub、Twitter和Reddit)上,并評(píng)估了關(guān)于軟件漏洞的討論如何在每個(gè)社交平臺(tái)上傳播。分析表明,GitHub是程序員常用的網(wǎng)絡(luò)和開(kāi)發(fā)站點(diǎn),到目前為止,這三個(gè)站點(diǎn)中最有可能成為討論軟件漏洞的起點(diǎn)。

研究人員寫(xiě)道,將GitHub作為討論軟件漏洞的起點(diǎn)是有道理的,因?yàn)镚itHub是面向軟件開(kāi)發(fā)的平臺(tái)。

研究人員發(fā)現(xiàn),將近47%的漏洞信息討論開(kāi)始于GitHub,然后向Twitter和Reddit擴(kuò)散(上圖)。大約16%的漏洞在被發(fā)布到官方網(wǎng)站之前就已在GitHub上開(kāi)始討論。

無(wú)處不在的代碼庫(kù)漏洞

研究指出,幾乎所有的商業(yè)軟件代碼庫(kù)都包含開(kāi)源共享代碼,其中將近80%的代碼庫(kù)至少包含一個(gè)漏洞。

此外,每個(gè)商業(yè)軟件代碼庫(kù)平均包含64個(gè)漏洞。研究稱,國(guó)家漏洞數(shù)據(jù)庫(kù)負(fù)責(zé)管理和公開(kāi)發(fā)布的漏洞(CVE)“正在急劇增長(zhǎng)”,“迄今為止,已經(jīng)收錄超過(guò)10萬(wàn)個(gè)已知漏洞?!?

研究人員在論文中討論了哪些美國(guó)對(duì)手可能會(huì)注意到這種漏洞。他們提到了俄羅斯、中國(guó)和其他國(guó)家,并指出在利用軟件漏洞時(shí),這些國(guó)家/地區(qū)使用這三種平臺(tái)的方式有所不同。

根據(jù)研究,2017年與俄羅斯相關(guān)的網(wǎng)絡(luò)攻擊涉及200,000多名受害者,影響了300,000多臺(tái)計(jì)算機(jī),并造成了約40億美元的損失。

研究稱:發(fā)生這些攻擊是因?yàn)楝F(xiàn)代軟件中存在各種已知漏洞,而一些高級(jí)持續(xù)威脅組織有效地利用了這些漏洞來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。

機(jī)器人和人類都構(gòu)成威脅

研究人員還區(qū)分了人類產(chǎn)生的社交媒體流量和機(jī)器人發(fā)出的自動(dòng)消息。研究人員發(fā)現(xiàn),由人類編寫(xiě)的社交媒體信息比機(jī)器生成的信息能更有效地提高人們對(duì)軟件漏洞的認(rèn)識(shí),因此對(duì)二者的區(qū)分非常重要。

研究者通過(guò)Botometer這個(gè)工具來(lái)區(qū)分人類信息和機(jī)器信息。Botometer能夠通過(guò)用戶、朋友、社交網(wǎng)絡(luò)、時(shí)間和內(nèi)容等多個(gè)維度的分析來(lái)區(qū)分機(jī)器與人類,尤其是在Twitter上,Botometer區(qū)分人類和“僵尸粉”的準(zhǔn)確性非常高。

總結(jié)

大多數(shù)CVE信息在Twitter和Reddit之前就在GitHub上開(kāi)始討論,甚至在漏洞正式發(fā)布之前就開(kāi)始了,這對(duì)于網(wǎng)絡(luò)分析師而言是至關(guān)重要的信息。分析人員以及產(chǎn)品供應(yīng)商和代碼庫(kù)所有者可以使用社交媒體中的漏洞情報(bào),提高開(kāi)發(fā)人員和普通用戶對(duì)漏洞和軟件補(bǔ)丁的認(rèn)識(shí)。

研究指出,對(duì)社交媒體傳播軟件漏洞信息的能力的認(rèn)識(shí),為政府、企業(yè)和機(jī)構(gòu)給出了一個(gè)非常重要的提示:

在預(yù)測(cè)和確定漏洞優(yōu)先級(jí)方面,社交媒體往往會(huì)比官方渠道更及時(shí)更有效。

此外,對(duì)現(xiàn)社交環(huán)境中傳播的漏洞和補(bǔ)丁信息進(jìn)行持續(xù)量化分析,應(yīng)當(dāng)成為企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和威脅情報(bào)工作的重要內(nèi)容。


 
 

上一篇:2020年05月11日 聚銘安全速遞

下一篇:又現(xiàn)高頻抓爬 華為移動(dòng)服務(wù)Aspiegel搜索爬蟲(chóng)令大量網(wǎng)站痛苦不堪