研究人員發(fā)現(xiàn)，NVD（美國漏洞數(shù)據(jù)庫）和安全權(quán)威公布的電腦漏洞大有可能在暗網(wǎng)（Dark Web）上已被分享了好多天了。

網(wǎng)絡(luò)安全公司Recorded Future對(duì)漏洞信息在NVD公布以前是否被暗網(wǎng)及安全信息媒體披露做了一項(xiàng)研究，星期三發(fā)布了研究結(jié)果。所謂的暗網(wǎng)是指互聯(lián)網(wǎng)未被索引的部分，暗網(wǎng)只能通過Tor網(wǎng)絡(luò)訪問。

據(jù)Recorded Future介紹，漏洞信息的公開披露及以正式通知的形式發(fā)送給各機(jī)構(gòu)和安全公司的平均延遲為七天，而且，該研究考查了曾公開發(fā)布的12500個(gè)共有漏洞和弱點(diǎn)暴露（CVE），其中超過75％的CVE在進(jìn)入CVE數(shù)據(jù)庫之前已經(jīng)在網(wǎng)上被披露。

披露者包括媒體、博客以及Dark Web、Pastebin粘貼網(wǎng)站以及地下犯罪論壇等。

Recorded Future稱該結(jié)果“表明官方漏洞公開渠道的可靠性成疑”。

Recorded Future 表示，“非官方和官方渠道之間CVE的這種差異加重了CISO和安全團(tuán)隊(duì)的負(fù)擔(dān)，導(dǎo)致這些人在漏洞大開時(shí)仍不知情，因而無法就安全策略在掌握了信息后再做出策略性決策。”

Recorded Future的研究始于2016年初，研究還顯示，供應(yīng)商公告和NVD的發(fā)布之間也存在時(shí)間差異。記錄中最快為一天，而最慢的是在172天后NVD才發(fā)布。

Recorded Future考查了1500個(gè)在NVD發(fā)布前已被透露的漏洞，在暗網(wǎng)上透露的漏洞的5%具有極高的安全問題。另外，在地下網(wǎng)絡(luò)上披露的漏洞的30%是用非英語發(fā)表的。

具體到Dirty Cow漏洞一例，Pastebin首先披露了Dirty Cow漏洞的概念驗(yàn)證（POC），Dirty Cow漏洞15天后才在NVD發(fā)布。