信息來(lái)源:安全牛
一提到漏洞披露����,人們首先想到的是漏洞賞金平臺(tái)或者國(guó)家漏洞庫(kù)之類(lèi)��,但事實(shí)上��,最重要的��、最“及時(shí)”的漏洞披露渠道�����,往往是社交媒體�����。
據(jù)美國(guó)能源部太平洋西北國(guó)家實(shí)驗(yàn)室(PNNL)的計(jì)算機(jī)科學(xué)家稱(chēng)�����,在政府官方漏洞網(wǎng)站披露軟件漏洞之前���,漏洞信息往往已經(jīng)在社交媒體上展開(kāi)討論���,這種做法可能構(gòu)成國(guó)家安全威脅,但也為政府網(wǎng)絡(luò)安全提供了一個(gè)機(jī)會(huì)�����,那就是在社交媒體尚更緊密地監(jiān)視關(guān)于軟件漏洞的討論�����。
PNNL數(shù)據(jù)科學(xué)和分析小組高級(jí)研究科學(xué)家Svitlana Volkova說(shuō):
一些軟件漏洞已被攻擊者作為目標(biāo)并加以利用��。我們想看看圍繞這些漏洞的討論是如何演變的,社會(huì)化網(wǎng)絡(luò)安全是一個(gè)巨大的威脅����。政府和企業(yè)迫切需要了解、衡量不同類(lèi)型漏洞如何跨平臺(tái)傳播�。
社交媒體(尤其是GitHub)引領(lǐng)漏洞披露潮流
PNNL的研究表明,從2015年到2017年�,有四分之一的軟件漏洞討論首先出現(xiàn)在社交媒體網(wǎng)站上,然后才錄入國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD�����、美國(guó)官方漏洞信息存儲(chǔ)庫(kù))��。此外����,對(duì)于這部分漏洞,社交媒體上開(kāi)始討論近90天后才能顯示在國(guó)家數(shù)據(jù)庫(kù)中��。(上圖)
該研究集中在三個(gè)社交平臺(tái)(GitHub��、Twitter和Reddit)上��,并評(píng)估了關(guān)于軟件漏洞的討論如何在每個(gè)社交平臺(tái)上傳播���。分析表明�����,GitHub是程序員常用的網(wǎng)絡(luò)和開(kāi)發(fā)站點(diǎn)����,到目前為止��,這三個(gè)站點(diǎn)中最有可能成為討論軟件漏洞的起點(diǎn)�。
研究人員寫(xiě)道,將GitHub作為討論軟件漏洞的起點(diǎn)是有道理的���,因?yàn)镚itHub是面向軟件開(kāi)發(fā)的平臺(tái)���。
研究人員發(fā)現(xiàn),將近47%的漏洞信息討論開(kāi)始于GitHub�,然后向Twitter和Reddit擴(kuò)散(上圖)。大約16%的漏洞在被發(fā)布到官方網(wǎng)站之前就已在GitHub上開(kāi)始討論����。
無(wú)處不在的代碼庫(kù)漏洞
研究指出,幾乎所有的商業(yè)軟件代碼庫(kù)都包含開(kāi)源共享代碼,其中將近80%的代碼庫(kù)至少包含一個(gè)漏洞�。
此外,每個(gè)商業(yè)軟件代碼庫(kù)平均包含64個(gè)漏洞��。研究稱(chēng)�����,國(guó)家漏洞數(shù)據(jù)庫(kù)負(fù)責(zé)管理和公開(kāi)發(fā)布的漏洞(CVE)“正在急劇增長(zhǎng)”��,“迄今為止���,已經(jīng)收錄超過(guò)10萬(wàn)個(gè)已知漏洞��?�!?
研究人員在論文中討論了哪些美國(guó)對(duì)手可能會(huì)注意到這種漏洞�。他們提到了俄羅斯�����、中國(guó)和其他國(guó)家���,并指出在利用軟件漏洞時(shí)���,這些國(guó)家/地區(qū)使用這三種平臺(tái)的方式有所不同��。
根據(jù)研究�,2017年與俄羅斯相關(guān)的網(wǎng)絡(luò)攻擊涉及200,000多名受害者,影響了300,000多臺(tái)計(jì)算機(jī)�����,并造成了約40億美元的損失����。
研究稱(chēng):發(fā)生這些攻擊是因?yàn)楝F(xiàn)代軟件中存在各種已知漏洞,而一些高級(jí)持續(xù)威脅組織有效地利用了這些漏洞來(lái)進(jìn)行網(wǎng)絡(luò)攻擊���。
機(jī)器人和人類(lèi)都構(gòu)成威脅
研究人員還區(qū)分了人類(lèi)產(chǎn)生的社交媒體流量和機(jī)器人發(fā)出的自動(dòng)消息��。研究人員發(fā)現(xiàn)����,由人類(lèi)編寫(xiě)的社交媒體信息比機(jī)器生成的信息能更有效地提高人們對(duì)軟件漏洞的認(rèn)識(shí)���,因此對(duì)二者的區(qū)分非常重要����。
研究者通過(guò)Botometer這個(gè)工具來(lái)區(qū)分人類(lèi)信息和機(jī)器信息。Botometer能夠通過(guò)用戶(hù)�、朋友、社交網(wǎng)絡(luò)��、時(shí)間和內(nèi)容等多個(gè)維度的分析來(lái)區(qū)分機(jī)器與人類(lèi)���,尤其是在Twitter上����,Botometer區(qū)分人類(lèi)和“僵尸粉”的準(zhǔn)確性非常高���。
總結(jié)
大多數(shù)CVE信息在Twitter和Reddit之前就在GitHub上開(kāi)始討論�����,甚至在漏洞正式發(fā)布之前就開(kāi)始了����,這對(duì)于網(wǎng)絡(luò)分析師而言是至關(guān)重要的信息�。分析人員以及產(chǎn)品供應(yīng)商和代碼庫(kù)所有者可以使用社交媒體中的漏洞情報(bào),提高開(kāi)發(fā)人員和普通用戶(hù)對(duì)漏洞和軟件補(bǔ)丁的認(rèn)識(shí)�����。
研究指出,對(duì)社交媒體傳播軟件漏洞信息的能力的認(rèn)識(shí)��,為政府�����、企業(yè)和機(jī)構(gòu)給出了一個(gè)非常重要的提示:
在預(yù)測(cè)和確定漏洞優(yōu)先級(jí)方面,社交媒體往往會(huì)比官方渠道更及時(shí)更有效�。
此外,對(duì)現(xiàn)社交環(huán)境中傳播的漏洞和補(bǔ)丁信息進(jìn)行持續(xù)量化分析�,應(yīng)當(dāng)成為企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和威脅情報(bào)工作的重要內(nèi)容。
