信息化觀察網(wǎng)

Risk Based Security 的 VulnDB 團(tuán)隊(duì)發(fā)布的一份《2020 年中漏洞速覽報(bào)告》指出，受疫情影響，在第一季度的披露漏洞數(shù)量低于平常水平之后；目前，主要技術(shù)公司披露的漏洞數(shù)量已逐漸恢復(fù)到正常水平。2020 年上半年眾公司共披露了 11,121 個(gè)漏洞，按著這一的發(fā)展趨勢(shì)，今年披露的漏洞總數(shù)或有望超過(guò)去年。

報(bào)告稱，在年中匯總的 11,121 個(gè)漏洞中，有 818 個(gè)是“Vulnerability Fujiwhara Effect”的結(jié)果。這是 Risk Based Security 采用的一個(gè)術(shù)語(yǔ)，用來(lái)描述微軟和甲骨文漏洞披露時(shí)間表相撞的事件。

針對(duì)現(xiàn)如今科技公司都選擇在同一天公開(kāi)發(fā)布所有最新漏洞的這一趨勢(shì)。Risk Based Security 公司漏洞情報(bào)副總裁 Brian Martin 批評(píng)稱，“我們知道，這些事件無(wú)疑會(huì)給 IT 人員和漏洞管理員帶來(lái)重大的壓力。在 4 月份的 Fujiwhara 活動(dòng)中，我們看到了包含 506 個(gè)新漏洞的報(bào)告，其中 79% 來(lái)自 7 家廠商。不幸的是，對(duì)我們所有人來(lái)說(shuō)，這很可能是我們可以預(yù)期的，未來(lái)會(huì)更頻繁地發(fā)生的事件。龐大的數(shù)量讓人不禁要問(wèn)，這種一次全部披露漏洞的做法到底讓誰(shuí)受益。當(dāng)然不是付費(fèi)客戶。”

該報(bào)告通過(guò)列出和細(xì)分漏洞數(shù)量最高的供應(yīng)商和產(chǎn)品，進(jìn)一步詳細(xì)介紹了披露領(lǐng)域。其中最值得注意的是微軟，與 2019 年全年相比，該公司在 2020 年前六個(gè)月內(nèi)披露的漏洞數(shù)量去年同期的 762 條相比增長(zhǎng)了 150％，遠(yuǎn)遠(yuǎn)超過(guò)其他所有供應(yīng)商；Windows10 則是第二季度末漏洞披露最多的產(chǎn)品。

此外，令人擔(dān)憂的是，在 2020 年上半年披露的漏洞中，有 30% 的漏洞沒(méi)有 CVE ID。另外有 3% 的漏洞雖然分配了 CVE ID，但仍處于保留狀態(tài)，這意味著依舊沒(méi)有有關(guān)該漏洞的信息。

Martin 稱，“鑒于所披露的漏洞數(shù)量太過(guò)龐大，依靠 CVE/NVD 的組織將難以找到及時(shí)和可操作的情報(bào)。NVD 內(nèi)發(fā)現(xiàn)的最低限度的元數(shù)據(jù)不足以讓組織正確地確定優(yōu)先級(jí)以及進(jìn)行補(bǔ)救。通過(guò)依靠 CVE 來(lái)提供完整和及時(shí)的數(shù)據(jù)，組織自身的風(fēng)險(xiǎn)正在增加。目前組織每天面臨的漏洞披露水平已經(jīng)超出了 CVE 的處理能力，而且只會(huì)變得更糟。”