据外媒报道,本周发表的一项新研究揭示了在过去 10 年里发现的安全漏洞中实际遭到利用的数量。据悉,这项被认为是迄今为止在同类研究中最广泛的研究发现,在 2009 年至 2018 年发现的 7.6 万个安全漏洞中只有 4183 个安全漏洞遭到利用。
更有趣的是,研究人员发现,在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。
研究小组表示,2009 年至 2018 年间,在 4183 个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。
这意味着,没有公共 PoC 并不一定会阻止攻击者利用某些漏洞—— 一些黑客在需要的时候会利用自己的漏洞。
严重缺陷被利用的最多
研究指出,在外被利用的大多数漏洞都是安全漏洞,它们都具有很高的 CVSSv2 严重性评分(可以从 1 到 10,其中 10 分被分配给最危险和最容易遭到利用的漏洞)。
研究小组表示:“在所有被利用的漏洞中,将近一半的漏洞 CVSS 的得分是9分或更高。”
研究工作来源
据悉,这项研究的核心数据由多种来源汇编而成的。例如,从 NIST 的国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。而与在外发现的攻击有关数据则从防御工事实验室收集而来,有关攻击的证据从 SANS Internet Storm Center、Secureworks CTU、Alienvault 的 OSSIM 元数据和 reverse Labs 元数据中收集而来。关于编写的利用代码信息来自 Exploit DB、利用框架(Metasploit、D2 Security 的 Elliot Kit 和 Canvas Exploitation Framework)、Contagio、Reversing Labs 和 Secureworks CTU,研究团队发现在 2009 年到 2018 年间 PoC 发布的数量有 9726 个。
此外,通过 Kenna Security,安全研究人员还获得了从扫描数百个公司网络的漏洞扫描器信息中提取的每个漏洞的流行程度。
未来
研究人员希望,他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些最有可能遭到攻击的漏洞。
这份研究表明,一个漏洞的 CVSSv2 得分越高,它遭到严重利用的可能性就越大——无论利用代码公开与否。
另外,受到攻击的漏洞数量是 1/20,而不是以前的研究表明的 1/10。
此外,研究团队还希望他们的工作将能增强整个 CVSS 框架并提供关于特定漏洞可能会被利用的新信息,进而帮助那些依赖 CVSS 评分来评估和优先打补丁的组织提供更好的指导。
来源:cnBeta.COM
更多资讯
谁来识别 AI 生成的假新闻?英媒:解铃还须系铃“人”
英媒称,在社交媒体上,假新闻的传播速度比真相还要快,随着假新闻生成器变得越来越先进,区分真假新闻变得比以往任何时候都更加困难。据英国《新科学家》周刊网站 6 月 8 日报道,可以根据简单的提示快速生成令人信服的文本段落的人工智能已经存在,并可炮制出令人信服但并不真实的故事,以影响公众舆论。不过,对于出现的问题人工智能也可以提供解决方案。
来源: 参考消息网
详情: http://www.dbsec.cn/zx/20190611-2.html
GEDmatch 改变 DNA 数据库的访问授权
过去几年,由于互联网上免费公开的 DNA 家谱数据库的流行,执法机构利用公开的数据破解了数十起陈年悬案,逮捕了多名隐蔽的连环杀手。大多数公众可能支持执法机构利用公开的家谱数据库抓捕强奸犯和杀人犯,但如果警方使用这些数据去搜寻小偷或袭击者之类的一般案件呢?
来源: solidot.org
详情: http://www.dbsec.cn/zx/20190611-3.html
打造难以破解手机的以色列公司 Communitake Technologies
大约十年前,一位以色列企业家分别在矛和盾上下了注,他投资了两家公司,一家公司宣称能破解任何智能手机,另一家公司则宣称要开发出难以破解的智能手机。前者叫 NSO Group,它向执法机关和政府出售间谍软件 Pegasus,其估值达到了 10 亿美元。
来源: solidot.org
详情: http://www.dbsec.cn/zx/20190611-4.html
人民日报:App 别乱动我们的个人信息
你有没有过这样的经历——刚在购物 App 上浏览完一些商品,随后另一个新闻资讯客户端就向你推送类似商品广告;刚在社交App上说想出去聚餐,稍后就收到一堆餐馆广告推荐;刚在购房App上浏览完毕,信用贷款电话就打了进来……如果有类似遭遇,那你的隐私信息很可能已经泄露。
来源: 人民日报
详情: http://www.dbsec.cn/zx/20190611-5.html
(信息来源于网络,安华金和搜集整理)
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/51196.html