绑定完请刷新页面
取消
刷新

分享好友

×
取消 复制
每日安全资讯:研究表明只有 5.5% 的被发现漏洞曾遭到利用
2019-06-11 13:38:15
这项被认为是迄今为止在同类研究中广泛的研究发现,在 2009 年至 2018 年发现的 7.6 万个安全漏洞中只有 4183 个安全漏洞遭到利用。

作者/来源: 安华金和

据外媒报道,本周发表的一项新研究揭示了在过去 10 年里发现的安全漏洞中实际遭到利用的数量。据悉,这项被认为是迄今为止在同类研究中广泛的研究发现,在 2009 年至 2018 年发现的 7.6 万个安全漏洞中只有 4183 个安全漏洞遭到利用。



更有趣的是,研究人员发现,在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。

研究小组表示,2009 年至 2018 年间,在 4183 个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。

这意味着,没有公共 PoC 并不一定会阻止攻击者利用某些漏洞—— 一些黑客在需要的时候会利用自己的漏洞。

严重缺陷被利用的多

研究指出,在外被利用的大多数漏洞都是安全漏洞,它们都具有很高的 CVSSv2 严重性评分(可以从 1 到 10,其中 10 分被分配给危险和容易遭到利用的漏洞)。

研究小组表示:“在所有被利用的漏洞中,将近一半的漏洞 CVSS 的得分是9分或更高。”



研究工作来源

据悉,这项研究的核心数据由多种来源汇编而成的。例如,从 NIST 的国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。而与在外发现的攻击有关数据则从防御工事实验室收集而来,有关攻击的证据从 SANS Internet Storm Center、Secureworks CTU、Alienvault 的 OSSIM 元数据和 reverse Labs 元数据中收集而来。关于编写的利用代码信息来自 Exploit DB、利用框架(Metasploit、D2 Security 的 Elliot Kit 和 Canvas Exploitation Framework)、Contagio、Reversing Labs 和 Secureworks CTU,研究团队发现在 2009 年到 2018 年间 PoC 发布的数量有 9726 个。

此外,通过 Kenna Security,安全研究人员还获得了从扫描数百个公司网络的漏洞扫描器信息中提取的每个漏洞的流行程度。

未来

研究人员希望,他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些有可能遭到攻击的漏洞。

这份研究表明,一个漏洞的 CVSSv2 得分越高,它遭到严重利用的可能性就越大——无论利用代码公开与否。

另外,受到攻击的漏洞数量是 1/20,而不是以前的研究表明的 1/10。

此外,研究团队还希望他们的工作将能增强整个 CVSS 框架并提供关于特定漏洞可能会被利用的新信息,进而帮助那些依赖 CVSS 评分来评估和优先打补丁的组织提供更好的指导。

来源:cnBeta.COM

更多资讯

谁来识别 AI 生成的假新闻?英媒:解铃还须系铃“人”

英媒称,在社交媒体上,假新闻的传播速度比真相还要快,随着假新闻生成器变得越来越先进,区分真假新闻变得比以往任何时候都更加困难。据英国《新科学家》周刊网站 6 月 8 日报道,可以根据简单的提示快速生成令人信服的文本段落的人工智能已经存在,并可炮制出令人信服但并不真实的故事,以影响公众舆论。不过,对于出现的问题人工智能也可以提供解决方案。

来源: 参考消息网
详情: dbsec.cn/zx/20190611-2.

GEDmatch 改变 DNA 数据库的访问授权

过去几年,由于互联网上免费公开的 DNA 家谱数据库的流行,执法机构利用公开的数据破解了数十起陈年悬案,逮捕了多名隐蔽的连环杀手。大多数公众可能支持执法机构利用公开的家谱数据库抓捕强奸犯和杀人犯,但如果警方使用这些数据去搜寻小偷或袭击者之类的一般案件呢?

来源: solidot.org
详情: dbsec.cn/zx/20190611-3.

打造难以破解手机的以色列公司 Communitake Technologies

大约十年前,一位以色列企业家分别在矛和盾上下了注,他投资了两家公司,一家公司宣称能破解任何智能手机,另一家公司则宣称要开发出难以破解的智能手机。前者叫 NSO Group,它向执法机关和政府出售间谍软件 Pegasus,其估值达到了 10 亿美元。

来源: solidot.org
详情: dbsec.cn/zx/20190611-4.

人民日报:App 别乱动我们的个人信息

你有没有过这样的经历——刚在购物 App 上浏览完一些商品,随后另一个新闻资讯客户端就向你推送类似商品广告;刚在社交App上说想出去聚餐,稍后就收到一堆餐馆广告推荐;刚在购房App上浏览完毕,信用贷款电话就打了进来……如果有类似遭遇,那你的隐私信息很可能已经泄露。

来源: 人民日报
详情: dbsec.cn/zx/20190611-5.

(信息来源于网络,安华金和搜集整理)

分享好友

分享这个小栈给你的朋友们,一起进步吧。

Linux技术精选专区
创建时间:2020-07-08 10:30:23
Linux,全称GNU/Linux,是一套免费使用和自由传播的类UNIX操作系统,其内核由林纳斯·本纳第克特·托瓦兹于1991年次释出,它主要受到Minix和Unix思想的启发,是一个基于POSIX和Unix的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议。
展开
订阅须知

• 所有用户可根据关注领域订阅专区或所有专区

• 付费订阅:虚拟交易,一经交易不退款;若特殊情况,可3日内客服咨询

• 专区发布评论属默认订阅所评论专区(除付费小栈外)

技术专家

查看更多
  • dapan
    专家
戳我,来吐槽~