官方漏洞通告？肯定没有。

 

超过3/4的漏洞在美国国家漏洞数据库(NVD)发布之前就在网上公布了。新闻站点、博客和社交媒体页面，以及常人无法触及的暗网、便笺网站和犯罪论坛，往往比美国国家标准与技术局(NIST)统管的国家漏洞库更快公布漏洞。

威胁情报公司 Recorded Future 表示：“非官方与官方CVE沟通之间的错位，增加了CISO和安全团队的负担，让他们不知不觉间面对潜在漏洞利用毫无防护，无法对自己的安全策略做出战略性英明决策。”

2016年初收集的数据，以及对1.25万安全漏洞的分析表明：CVE从曝光到最终发布在NIST的NVD里，中间的时间延迟平均有7天。

公开揭露到官方通告之间的7天延迟，将企业置于重大威胁风险之中，并对官方披露渠道的可靠性提出质疑。厂商声明和NVD公布之间的时间差甚至更长，最快的厂商1天后即发出警告，最慢的发布则平均延迟172天。微软和Adobe很快，IBM和Apache反应迟缓。

 

5%的漏洞都先于NVD在暗网上披露上细节，且通常比预期的严重性要高。举个例子，脏牛漏洞 (CVE-2016-5195)，其概念验证代码在NVD公布15天前就在Pastebin上发布了。原始安全报告被翻译成了俄语，并在报告披露2天后贴到了漏洞利用论坛上。

2016年，超500个CVE在网上申报，且至今仍在等着NVD的发布。

Recorded Future 首席执行官克里斯托弗·阿尔博格表示：“长久以来人们一直认为，非官方和官方源在漏洞披露上存在很长的时间延迟。该研究清晰表明，NVD和官方报告渠道无法跟上野生CVE的体量。公司企业需要查阅其他源，才能应用有意义且可执行的情报做好自身安全防护。”

Recorded Future 认为，公司企业需要采用主动和基于风险的方法来解决漏洞问题，利用来自更难以访问的站点的情报，比如暗网。虽然难以触碰，这些幽暗场所却是新威胁和潜在零日漏洞最先被讨论的地方。

(责任编辑：安博涛)