重要的漏洞披露渠道:社交媒體
一提到漏洞披露,人們首先想到的是漏洞賞金平臺(tái)或者國家漏洞庫之類,但事實(shí)上,最重要的、最“及時(shí)”的漏洞披露渠道,往往是社交媒體。
據(jù)美國能源部太平洋西北國家實(shí)驗(yàn)室(PNNL)的計(jì)算機(jī)科學(xué)家稱,在政府官方漏洞網(wǎng)站披露軟件漏洞之前,漏洞信息往往已經(jīng)在社交媒體上展開討論,這種做法可能構(gòu)成國家安全威脅,但也為政府網(wǎng)絡(luò)安全提供了一個(gè)機(jī)會(huì),那就是在社交媒體尚更緊密地監(jiān)視關(guān)于軟件漏洞的討論。
PNNL數(shù)據(jù)科學(xué)和分析小組高級(jí)研究科學(xué)家Svitlana Volkova說:
| 一些軟件漏洞已被攻擊者作為目標(biāo)并加以利用。我們想看看圍繞這些漏洞的討論是如何演變的,社會(huì)化網(wǎng)絡(luò)安全是一個(gè)巨大的威脅。政府和企業(yè)迫切需要了解、衡量不同類型漏洞如何跨平臺(tái)傳播。 |
社交媒體(尤其是GitHub)引領(lǐng)漏洞披露潮流
PNNL的研究表明,從2015年到2017年,有四分之一的軟件漏洞討論首先出現(xiàn)在社交媒體網(wǎng)站上,然后才錄入國家漏洞數(shù)據(jù)庫(NVD、美國官方漏洞信息存儲(chǔ)庫)。此外,對(duì)于這部分漏洞,社交媒體上開始討論近90天后才能顯示在國家數(shù)據(jù)庫中。(上圖)
該研究集中在三個(gè)社交平臺(tái)(GitHub、Twitter和Reddit)上,并評(píng)估了關(guān)于軟件漏洞的討論如何在每個(gè)社交平臺(tái)上傳播。分析表明,GitHub是程序員常用的網(wǎng)絡(luò)和開發(fā)站點(diǎn),到目前為止,這三個(gè)站點(diǎn)中最有可能成為討論軟件漏洞的起點(diǎn)。
研究人員寫道,將GitHub作為討論軟件漏洞的起點(diǎn)是有道理的,因?yàn)镚itHub是面向軟件開發(fā)的平臺(tái)。
研究人員發(fā)現(xiàn),將近47%的漏洞信息討論開始于GitHub,然后向Twitter和Reddit擴(kuò)散(上圖)。大約16%的漏洞在被發(fā)布到官方網(wǎng)站之前就已在GitHub上開始討論。
無處不在的代碼庫漏洞
研究指出,幾乎所有的商業(yè)軟件代碼庫都包含開源共享代碼,其中將近80%的代碼庫至少包含一個(gè)漏洞。
此外,每個(gè)商業(yè)軟件代碼庫平均包含64個(gè)漏洞。研究稱,國家漏洞數(shù)據(jù)庫負(fù)責(zé)管理和公開發(fā)布的漏洞(CVE)“正在急劇增長”,“迄今為止,已經(jīng)收錄超過10萬個(gè)已知漏洞。”
研究人員在論文中討論了哪些美國對(duì)手可能會(huì)注意到這種漏洞。他們提到了俄羅斯、中國和其他國家,并指出在利用軟件漏洞時(shí),這些國家/地區(qū)使用這三種平臺(tái)的方式有所不同。
根據(jù)研究,2017年與俄羅斯相關(guān)的網(wǎng)絡(luò)攻擊涉及200,000多名受害者,影響了300,000多臺(tái)計(jì)算機(jī),并造成了約40億美元的損失。
研究稱:“發(fā)生這些攻擊是因?yàn)楝F(xiàn)代軟件中存在各種已知漏洞,而一些高級(jí)持續(xù)威脅組織有效地利用了這些漏洞來進(jìn)行網(wǎng)絡(luò)攻擊。”
機(jī)器人和人類都構(gòu)成威脅
研究人員還區(qū)分了人類產(chǎn)生的社交媒體流量和機(jī)器人發(fā)出的自動(dòng)消息。研究人員發(fā)現(xiàn),由人類編寫的社交媒體信息比機(jī)器生成的信息能更有效地提高人們對(duì)軟件漏洞的認(rèn)識(shí),因此對(duì)二者的區(qū)分非常重要。
研究者通過Botometer這個(gè)工具來區(qū)分人類信息和機(jī)器信息。Botometer能夠通過用戶、朋友、社交網(wǎng)絡(luò)、時(shí)間和內(nèi)容等多個(gè)維度的分析來區(qū)分機(jī)器與人類,尤其是在Twitter上,Botometer區(qū)分人類和“僵尸粉”的準(zhǔn)確性非常高。
總結(jié)
大多數(shù)CVE信息在Twitter和Reddit之前就在GitHub上開始討論,甚至在漏洞正式發(fā)布之前就開始了,這對(duì)于網(wǎng)絡(luò)分析師而言是至關(guān)重要的信息。分析人員以及產(chǎn)品供應(yīng)商和代碼庫所有者可以使用社交媒體中的漏洞情報(bào),提高開發(fā)人員和普通用戶對(duì)漏洞和軟件補(bǔ)丁的認(rèn)識(shí)。
研究指出,對(duì)社交媒體傳播軟件漏洞信息的能力的認(rèn)識(shí),為政府、企業(yè)和機(jī)構(gòu)給出了一個(gè)非常重要的提示:
在預(yù)測(cè)和確定漏洞優(yōu)先級(jí)方面,社交媒體往往會(huì)比官方渠道更及時(shí)更有效。
此外,對(duì)現(xiàn)社交環(huán)境中傳播的漏洞和補(bǔ)丁信息進(jìn)行持續(xù)量化分析,應(yīng)當(dāng)成為企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和威脅情報(bào)工作的重要內(nèi)容。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
