关键软件漏洞数量减少9%是一种假象
作者: 日期:2014年02月10日 阅:2,297

nsa-ant

惠普上周发布的2013年网络风险报告,根据惠普的通用漏洞积分系统(CVSS)统计,2013年软件重大安全缺陷数量下降了9%,软件真的比过去更加安全了吗?事实未必。

惠普企业安全产品部门的首席技术官Jacob West透露,虽然惠普购买的漏洞数量总体在下降,但是惠普的零日漏洞项目2013年购买的零日漏洞数量却增加了,该项目组还发现越来越多的关键软件漏洞在市场上流通——通过“灰市”卖给渗透测试公司或政府部门,通过黑市卖给犯罪分子。

NSS Labs的研究总监Stefan Frei曾于2013年底发布《零日漏洞交易现状研究报告》,指出虽然白帽市场上交易的关键漏洞数量减少,但是更多的漏洞被政府和私有机构买走,漏洞的产生速度并未放缓,而且近年来包括微软在内越来越多的软件企业提高了漏洞赏金数额。

零日漏洞在私下交易中的价格通常在4-16万美元之间,如果目标利润丰厚,价格还会提高,有些零日漏洞的价格高达50甚至上百万美元。以NSA 2013年2500万美元的漏洞购买预算为例,大概每天能买86-541个“未知”漏洞。根据Darkreading的报道,零日漏洞在被软件厂商和用户发现前平均能“潜伏”151天。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章