中国发现网络安全漏洞有多快？美媒：领先美国20天

美媒称，今年3月，阿帕奇软件基金会宣布它发现了其软件中的一个重大瑕疵。现在，这个瑕疵已众所周知，堪称伊奎法克斯公司未修补的致命要害：黑客可借此盗走1.45亿美国人的敏感信息。而防范黑客袭击的中国公司则领先了一步。就在阿帕奇宣布这个消息一天之内，中国国家安全信息漏洞库(CNNVD)就发表了这个软件漏洞的详细内容；而三天后它才出现在美国的官方数据库中。那时，研究人员已记录到全球利用这个错误代码的黑客袭击潮。

隐藏在网络中的黑客也有黑白之分。“白帽”黑客和“黑帽”黑客像是电影中正邪对立的两大阵营，凭借着各自的技术，在互联网江湖的暗涌里进行着比拼。“白帽”为安全而技术，是网络安全的建设者；“黑帽”为利益而技术，是网络安全的破坏者。两者都有着高超的技术积累，以及对网络漏洞极为敏感的嗅觉。在地下黑色产业链中，恶意利用漏洞变现的速度惊人，一个高危漏洞在黑市上可以买到六位数的高价。

资料图：隐藏在网络中的黑客也有黑白之分。

据美国彭博新闻社网站10月19日报道，根据网络安全公司--“记录未来”公司10月19日发表的研究报告，中国的优势通常非常大。报告显示：根据两年来中国与美国数据库新增17940个漏洞的分析，双方公布新发现漏洞信息的时间平均相距20天。

“记录未来”公司首席执行官克里斯托弗·阿尔伯格说：“时间差距有点儿残酷。黑客利用漏洞的速度极其迅速，这是因为黑客知道进入电脑系统的最佳途径就是找到未修补的漏洞。”

“记录未来”公司的研究结果只是最新证据，说明美国软件漏洞的公开报告系统处于艰难挣扎状态。美国商务部国家标准与技术研究所开展的项目--美国国家漏洞数据库(NVD)建立并随时更新“常见漏洞和风险暴露”(CVEs)编目，由非营利公司迈特公司维护。1999年迈特公司创建此编目时向专家提供了用各种化名代替的常见漏洞威胁的名称。国家漏洞数据库从2005年起还增加了机构可用于解决漏洞的内容和资源。保持网络安全更新应以此为参照标准。

但是，数据库依赖自愿式漏洞提交，主要来源是漏洞软件制造商。中国人使用更广泛的来源和方法，包括技术测试。

速度，或者说缺乏速度，只是工业控制系统、医疗卫生器材和联网家电迫切需要更新以解决新型威胁和漏洞所面临的问题之一。“记录未来”公司的分析报告发现：中国数据库中的1746个“常见漏洞和风险暴露”根本未出现在美国的数据库中。而美国国家漏洞数据库在商业服务方面也落后了。

据风险安全咨询公司评估，完全依赖“常见漏洞和风险暴露”系统的机构将漏掉近一半已披露的漏洞。根据风险安全咨询公司的跟踪记录，2017年上半年报告的安全漏洞比去年同期增加了29%。软件公司参数技术公司(PTC)首席安全官乔舒亚·科尔曼说，随着联网家电以及所谓物联网的发展，总体安全漏洞增长在加速。

不过，科尔曼说政府系统仍倾向于商业软件漏洞，工业控制系统和医疗卫生器材得不到充分保护。软件漏洞影响及其严重程度的打分系统也未跟上技术发展。导致应用瘫痪的缺陷相对得分较低，而这种事情可能给自动驾驶汽车或智能医疗器材造成毁灭性问题。科尔曼说：“令我惊恐的是，导致最严重失误后果的漏洞也是最不受重视的。如果是医用泵，那会致命。如果是涡轮机，那会发生爆炸。”

今年3月，众议院能源和商务委员会致信迈特公司和美国国土安全部(负责监管迈特公司的“常见漏洞和风险暴露”项目合同)，要求提供迈特公司采取了哪些措施保护和提高美国的网络安全行为。

科尔曼说信息技术界或许必须在人力或资金方面多作贡献。“记录未来”公司首席数据学家比尔·拉德提出了一条明确的捷径：派实习生去复制中国数据库的东西。他说：“我想任务很明确，要尽可能全面。中国的系统至少保证了有改进余地。”