蘭德公司公布了最新報(bào)告,這份報(bào)告有助于揭示美國(guó)政府的惡意軟件庫(kù),包括其所謂的“零日”漏洞庫(kù)存數(shù)量和攻擊力。“零日”漏洞即攻擊電腦,智能手機(jī)和其他數(shù)字設(shè)備所使用的尚未公開(kāi)的安全漏洞。該報(bào)告還提供了這些“零日”漏洞持久保持攻擊力的證據(jù)。研究結(jié)果特別令人感興趣,因?yàn)橥饨鐚?duì)美國(guó)政府使用“零日”漏洞細(xì)節(jié)所知甚少,官員長(zhǎng)期以來(lái)拒絕公布“零日”漏洞數(shù)量和使用情況。
蘭德的報(bào)告是基于所謂訪(fǎng)問(wèn)一個(gè)“零日”漏洞販賣(mài)公司的數(shù)據(jù)庫(kù)做出,這家公司在“灰色市場(chǎng)”上向政府和其他客戶(hù)出售這些在“零日”漏洞,當(dāng)天蘭德研究人員看到的“零日”漏洞集合包包含大約200個(gè)“零日”漏洞,- 大約是一些專(zhuān)家認(rèn)為美國(guó)政府擁有“零日”漏洞的數(shù)量。
蘭德發(fā)現(xiàn),這些漏洞的平均壽命為6.9年,然后政府相關(guān)機(jī)構(gòu)才會(huì)將每個(gè)目標(biāo)的漏洞披露給軟件制造商,或者在供應(yīng)商升級(jí)代碼之前,不經(jīng)意地消除了安全漏洞。一些漏洞幸存下來(lái)的時(shí)間甚至比這更長(zhǎng)。約25%“零日”漏洞壽命為十年或更長(zhǎng)。但是另外25%的“零日”漏洞在不到18個(gè)月就通過(guò)軟件升級(jí)進(jìn)行修補(bǔ)。