一提到漏洞披露，人們首先想到的是漏洞賞金平臺(tái)或者國(guó)家漏洞庫(kù)之類(lèi)，但事實(shí)上，最重要的、最“及時(shí)”的漏洞披露渠道，往往是社交媒體。

據(jù)美國(guó)能源部太平洋西北國(guó)家實(shí)驗(yàn)室(PNNL)的計(jì)算機(jī)科學(xué)家稱(chēng)，在政府官方漏洞網(wǎng)站披露軟件漏洞之前，漏洞信息往往已經(jīng)在社交媒體上展開(kāi)討論，這種做法可能構(gòu)成國(guó)家安全威脅，但也為政府網(wǎng)絡(luò)安全提供了一個(gè)機(jī)會(huì)，那就是在社交媒體尚更緊密地監(jiān)視關(guān)于軟件漏洞的討論。

[[325525]]

PNNL數(shù)據(jù)科學(xué)和分析小組高級(jí)研究科學(xué)家Svitlana Volkova說(shuō)：

社交媒體(尤其是GitHub)引領(lǐng)漏洞披露潮流

PNNL的研究表明，從2015年到2017年，有四分之一的軟件漏洞討論首先出現(xiàn)在社交媒體網(wǎng)站上，然后才錄入國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD、美國(guó)官方漏洞信息存儲(chǔ)庫(kù))。此外，對(duì)于這部分漏洞，社交媒體上開(kāi)始討論近90天后才能顯示在國(guó)家數(shù)據(jù)庫(kù)中。(上圖)

該研究集中在三個(gè)社交平臺(tái)(GitHub、Twitter和Reddit)上，并評(píng)估了關(guān)于軟件漏洞的討論如何在每個(gè)社交平臺(tái)上傳播。分析表明，GitHub是程序員常用的網(wǎng)絡(luò)和開(kāi)發(fā)站點(diǎn)，到目前為止，這三個(gè)站點(diǎn)中最有可能成為討論軟件漏洞的起點(diǎn)。

研究人員寫(xiě)道，將GitHub作為討論軟件漏洞的起點(diǎn)是有道理的，因?yàn)镚itHub是面向軟件開(kāi)發(fā)的平臺(tái)。

研究人員發(fā)現(xiàn)，將近47%的漏洞信息討論開(kāi)始于GitHub，然后向Twitter和Reddit擴(kuò)散(上圖)。大約16%的漏洞在被發(fā)布到官方網(wǎng)站之前就已在GitHub上開(kāi)始討論。

無(wú)處不在的代碼庫(kù)漏洞

研究指出，幾乎所有的商業(yè)軟件代碼庫(kù)都包含開(kāi)源共享代碼，其中將近80%的代碼庫(kù)至少包含一個(gè)漏洞。

此外，每個(gè)商業(yè)軟件代碼庫(kù)平均包含64個(gè)漏洞。研究稱(chēng)，國(guó)家漏洞數(shù)據(jù)庫(kù)負(fù)責(zé)管理和公開(kāi)發(fā)布的漏洞(CVE)“正在急劇增長(zhǎng)”，“迄今為止，已經(jīng)收錄超過(guò)10萬(wàn)個(gè)已知漏洞。”

研究人員在論文中討論了哪些美國(guó)對(duì)手可能會(huì)注意到這種漏洞。他們提到了俄羅斯、中國(guó)和其他國(guó)家，并指出在利用軟件漏洞時(shí)，這些國(guó)家/地區(qū)使用這三種平臺(tái)的方式有所不同。

根據(jù)研究，2017年與俄羅斯相關(guān)的網(wǎng)絡(luò)攻擊涉及200,000多名受害者，影響了300,000多臺(tái)計(jì)算機(jī)，并造成了約40億美元的損失。

研究稱(chēng)：“發(fā)生這些攻擊是因?yàn)楝F(xiàn)代軟件中存在各種已知漏洞，而一些高級(jí)持續(xù)威脅組織有效地利用了這些漏洞來(lái)進(jìn)行網(wǎng)絡(luò)攻擊。”

機(jī)器人和人類(lèi)都構(gòu)成威脅

研究人員還區(qū)分了人類(lèi)產(chǎn)生的社交媒體流量和機(jī)器人發(fā)出的自動(dòng)消息。研究人員發(fā)現(xiàn)，由人類(lèi)編寫(xiě)的社交媒體信息比機(jī)器生成的信息能更有效地提高人們對(duì)軟件漏洞的認(rèn)識(shí)，因此對(duì)二者的區(qū)分非常重要。

研究者通過(guò)Botometer這個(gè)工具來(lái)區(qū)分人類(lèi)信息和機(jī)器信息。Botometer能夠通過(guò)用戶(hù)、朋友、社交網(wǎng)絡(luò)、時(shí)間和內(nèi)容等多個(gè)維度的分析來(lái)區(qū)分機(jī)器與人類(lèi)，尤其是在Twitter上，Botometer區(qū)分人類(lèi)和“僵尸粉”的準(zhǔn)確性非常高。

總結(jié)

大多數(shù)CVE信息在Twitter和Reddit之前就在GitHub上開(kāi)始討論，甚至在漏洞正式發(fā)布之前就開(kāi)始了，這對(duì)于網(wǎng)絡(luò)分析師而言是至關(guān)重要的信息。分析人員以及產(chǎn)品供應(yīng)商和代碼庫(kù)所有者可以使用社交媒體中的漏洞情報(bào)，提高開(kāi)發(fā)人員和普通用戶(hù)對(duì)漏洞和軟件補(bǔ)丁的認(rèn)識(shí)。

研究指出，對(duì)社交媒體傳播軟件漏洞信息的能力的認(rèn)識(shí)，為政府、企業(yè)和機(jī)構(gòu)給出了一個(gè)非常重要的提示：

在預(yù)測(cè)和確定漏洞優(yōu)先級(jí)方面，社交媒體往往會(huì)比官方渠道更及時(shí)更有效。

此外，對(duì)現(xiàn)社交環(huán)境中傳播的漏洞和補(bǔ)丁信息進(jìn)行持續(xù)量化分析，應(yīng)當(dāng)成為企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和威脅情報(bào)工作的重要內(nèi)容。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文