您的位置: 首頁 >互聯(lián)網(wǎng) >

沉默是否比披露零日漏洞更好

2020-03-24 21:18:33 編輯: 來源:
導讀 一段時間以來,人們都知道西方政府網(wǎng)絡機構(gòu)囤積了零日漏洞,希望能在目標的聯(lián)網(wǎng)設備中找到利用這些漏洞的方法。與此同時,安全研究人員敦促這些政府盡快公布這些漏洞的發(fā)現(xiàn),以便在罪犯和不那么友好的政府發(fā)現(xiàn)并利用這些漏洞之前迅速修補這些漏洞。 現(xiàn)在,一項新的研究表明,保持沉默可能是保護社會的更好方法,因為零日被發(fā)現(xiàn)的幾率很低。 這項研究由美國進行從2002年到2006年,美國蘭德公司發(fā)現(xiàn)了200個零日漏洞和它

一段時間以來,人們都知道西方政府網(wǎng)絡機構(gòu)囤積了零日漏洞,希望能在目標的聯(lián)網(wǎng)設備中找到利用這些漏洞的方法。與此同時,安全研究人員敦促這些政府盡快公布這些漏洞的發(fā)現(xiàn),以便在罪犯和不那么友好的政府發(fā)現(xiàn)并利用這些漏洞之前迅速修補這些漏洞。

現(xiàn)在,一項新的研究表明,保持沉默可能是保護社會的更好方法,因為零日被發(fā)現(xiàn)的幾率很低。

這項研究由美國進行從2002年到2006年,美國蘭德公司發(fā)現(xiàn)了200個零日漏洞和它們的漏洞。此外,兩個人發(fā)現(xiàn)相同漏洞的可能性——研究人員稱之為碰撞率——大約是每年5.7%。

報告認為,這兩個事實表明,披露漏洞所能提供的保護程度可能是有限的,而對那些既想保護自己的系統(tǒng)、又想利用他人系統(tǒng)漏洞的人來說,保持沉默——或“囤積”——漏洞可能是一個合理的選擇。

維基解密上周公布了一份據(jù)稱是美國中央情報局(CIA)工具的黑客檔案,這些工具被用來利用多種設備的漏洞,這份報告增加了人們對此的興趣。

“典型的‘白帽’研究人員更有動力在發(fā)現(xiàn)零日漏洞后立即通知軟件供應商,”該研究的主要作者、蘭德公司的信息科學家莉蓮·阿布龍(Lillian Ablon)在新聞發(fā)布會上說。“其他的,像系統(tǒng)安全滲透測試公司和‘灰色帽子’實體,有動力儲存它們。但是決定是儲存還是公開披露一個“零日漏洞”——或其相應的“利空”——是一個權(quán)衡的游戲,尤其是對政府而言。

“從國家政府的角度來看,如果一個人的對手也知道這個漏洞,那么公開披露這個漏洞將有助于加強自己的防御,迫使受影響的供應商實施一個補丁,防止對手利用這個漏洞攻擊他們,”Ablon說。“另一方面,公開披露一個對手不知道的漏洞會讓他們占上風,因為對手可以利用這個漏洞抵御任何攻擊,同時仍然保留一個只有自己知道的漏洞清單。”在這種情況下,囤積是最好的選擇。”

在研究的200多個零日漏洞和漏洞利用中,近40%仍是公開未知的。25%的脆弱性活不過1.5年,而另外25%的脆弱性活過了9.5年。

一旦發(fā)現(xiàn)一個可利用的漏洞,開發(fā)一個完全有效的漏洞的時間相對較快,平均時間為22天。

雖然零日的平均壽命很長可能支持囤積漏洞的論點,但報告也指出,發(fā)現(xiàn)漏洞的機會仍然存在。作者寫道:“一些人可能會認為,如果其他人(尤其是對手)有可能發(fā)現(xiàn)同樣的零日漏洞,那么保持零日隱私并讓一個群體處于脆弱狀態(tài)的潛在嚴重后果,就有必要立即披露和修補漏洞。”

“按照這種思路,最好的決定可能是,只有在確信沒有其他人能找到零日的情況下,才囤積核武器;否則披露。”


免責聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。