一提到漏洞披露,人们首先想到的是漏洞赏金平台或者国家漏洞数据库,但其实最重要、最“及时”的漏洞披露渠道往往是社交媒体。根据美国能源部太平洋西北国家实验室(PNNL)的计算机科学家的说法,软件漏洞在政府官方漏洞网站上披露之前,通常会在社交媒体上进行讨论。政府网络安全提供了一个机会,可以更密切地监控社交媒体上关于软件漏洞的讨论。“一些软件漏洞已成为攻击者的目标并加以利用,”PNNL数据科学与分析小组的高级研究科学家SvitlanaVolkova说。我们想看看围绕这些漏洞的讨论是如何演变的,社交网络安全是一个巨大的威胁。政府和企业迫切需要了解和衡量不同类型的漏洞如何跨平台传播。社交媒体(尤其是GitHub)引领漏洞披露PNNL研究表明,从2015年到2017年,四分之一的软件漏洞讨论首先出现在社交媒体网站上,然后才进入国家漏洞数据库(NVD,美国官方漏洞信息存储库).此外,对于这部分漏洞,在社交媒体上开始讨论到出现在国家数据库中花了将近90天的时间。(上图)该研究侧重于三个社交平台(GitHub、Twitter和Reddit),并评估了关于软件漏洞的讨论如何在每个平台上传播。分析表明,GitHub是一个受程序员欢迎的网络和开发站点,到目前为止,这三个站点中最有可能成为讨论软件漏洞的起点。研究人员写道,使用GitHub作为讨论软件漏洞的起点是有道理的,因为GitHub是一个软件开发平台。研究人员发现,近47%的漏洞信息讨论始于GitHub,然后传播到Twitter和Reddit(上图)。大约16%的漏洞在发布到官方网站之前在GitHub上进行了讨论。无处不在的代码库漏洞研究指出,几乎所有商业软件代码库都包含开源共享代码,并且这些代码库中近80%至少包含一个漏洞。此外,每个商业软件代码库平均包含64个漏洞。该研究称,管理和公开发布漏洞(CVE)的国家漏洞数据库正在“急剧增长”并且“迄今已对超过100,000个已知漏洞进行了编目”。在他们的论文中,研究人员讨论了哪些美国对手可能知道这些漏洞。他们提到了俄罗斯、中国和其他国家,指出这些国家在利用软件漏洞时使用这三个平台的方式有所不同。不同的。根据该研究,2017年与俄罗斯有关的网络攻击涉及超过20万受害者,影响超过30万台计算机,并造成估计40亿美元的损失。“这些攻击的发生是因为存在各种已知漏洞,一些高级持续威胁组织已经有效地利用这些漏洞进行网络攻击。机器人和人类都构成威胁研究人员还区分了人类生成的社交媒体流量和来自机器人的自动消息。研究人员发现,与机器生成的消息相比,人类编写的社交媒体消息在提高软件漏洞意识方面更为有效。因此,区分两者非常重要。研究人员使用Botometer工具来区分人类信息和机器信息。Botometer通过对用户、好友、社交网络、时间、内容的多维度分析,可以区分机器和人类。尤其是在推特上,Botometer区分人类和“僵尸”的准确率非常高。总结一下,大多数CVE信息在Twitter和Reddit之前,甚至在漏洞正式发布之前就开始在GitHub上进行讨论,这对于分析人员以及产品供应商和代码库所有者可以使用来自社交媒体的漏洞情报来说非常重要,以增加开发人员和普通用户对漏洞和软件补丁的认识。该研究指出,对社交媒体传播软件漏洞信息能力的认识为政府、企业和机构提供了一个非常重要的提醒:社交媒体在预测漏洞和确定漏洞优先级方面往往比官方渠道更及时、更有效。此外,对当前社会环境下传播的漏洞和补丁信息进行持续量化分析,应成为企业网络安全风险管理和威胁情报工作的重要组成部分。公众号id:gooann-sectv)获取授权】点此阅读本作者更多好文
