Чаще всего информация о новых уязвимостях сначала появляется в блогах исследователей, социальных сетях, СМИ, даркнете, на paste-сайтах и лишь потом попадает в Национальную базу данных уязвимостей (National Vulnerability Database, NVD), которой заведует Национальный институт стандартов и технологий США.
«Разрыв между официальными и неофициальными сообщениями о CVE возлагает большое бремя на плечи специалистов по информационной безопасности, невольно оставляя их открытыми для потенциальных эксплоитов и не позволяя принять стратегическое, взвешенное решение относительно стратегии безопасности», — пишут специалисты Recorded Future.
Чтобы понять, как часто подобное происходит, исследователи изучили 12 517 различных CVE, опубликованных в NVD в 2016-2017 годы. Выяснилось, что информация о 75% уязвимостей была опубликована в интернете или в даркнете раньше, чем попала в официальную базу. В среднем разрыв между раскрытием данных о баге и попаданием информации в NVD составляет семь дней. Специалисты отмечают, что за это время злоумышленники могут успеть создать эксплоит и атаковать компании и предприятия, которые еще даже не подозревают о новой угрозе.
Однако семь дней – это среднее значение. Исследователи сообщают, что около 25% уязвимостей «всплывают» в сети за 50 дней до официальных сообщений, а еще 10% и вовсе остаются без внимания специалистов более 170 дней.
При этом в даркнете появляется информация о каждой двадцатой уязвимости (5%), и в 30% случаев сообщения написаны на отличных от английского языках. В качестве примера исследователи приводят информацию о баге Dirty Cow (CVE-2016-5195). О проблеме стало известно 19 октября 2016 года, и уже через два дня изначальный отчет был переведен на русский язык и опубликован на хакерских форумах. Еще через шесть дней proof-of-concept эксплоит для уязвимости появился на Pastebin. Все это произошло за 15 дней до публикации данных в NVD.
Специалисты отмечают, что более 500 CVE, о которых в 2016 году сообщалось в сети, по-прежнему ожидают добавления в базу. В связи с этим Recorded Future настоятельно рекомендует специалистам быть бдительнее и не полагаться исключительно на информацию, полученную из NVD и официальных источников.
