社交媒体竟然是最重要的漏洞披露渠道?

2024-04-04 19:08

本文主要是介绍社交媒体竟然是最重要的漏洞披露渠道?,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一提到漏洞披露,人们首先想到的是漏洞赏金平台或者国家漏洞库之类,但事实上,最重要的、最“及时”的漏洞披露渠道,往往是社交媒体。

据美国能源部太平洋西北国家实验室(PNNL)的计算机科学家称,在政府官方漏洞网站披露软件漏洞之前,漏洞信息往往已经在社交媒体上展开讨论,这种做法可能构成国家安全威胁,但也为政府网络安全提供了一个机会,那就是在社交媒体尚更紧密地监视关于软件漏洞的讨论。

PNNL数据科学和分析小组高级研究科学家Svitlana Volkova说:

一些软件漏洞已被攻击者作为目标并加以利用。我们想看看围绕这些漏洞的讨论是如何演变的,社会化网络安全是一个巨大的威胁。政府和企业迫切需要了解、衡量不同类型漏洞如何跨平台传播。

社交媒体(尤其是GitHub)引领漏洞披露潮流

PNNL的研究表明,从2015年到2017年,有四分之一的软件漏洞讨论首先出现在社交媒体网站上,然后才录入国家漏洞数据库(NVD、美国官方漏洞信息存储库)。此外,对于这部分漏洞,社交媒体上开始讨论近90天后才能显示在国家数据库中。(上图)

该研究集中在三个社交平台(GitHub、Twitter和Reddit)上,并评估了关于软件漏洞的讨论如何在每个社交平台上传播。分析表明,GitHub是程序员常用的网络和开发站点,到目前为止,这三个站点中最有可能成为讨论软件漏洞的起点。

研究人员写道,将GitHub作为讨论软件漏洞的起点是有道理的,因为GitHub是面向软件开发的平台。

研究人员发现,将近47%的漏洞信息讨论开始于GitHub,然后向Twitter和Reddit扩散(上图)。大约16%的漏洞在被发布到官方网站之前就已在GitHub上开始讨论。

无处不在的代码库漏洞

研究指出,几乎所有的商业软件代码库都包含开源共享代码,其中将近80%的代码库至少包含一个漏洞。

此外,每个商业软件代码库平均包含64个漏洞。研究称,国家漏洞数据库负责管理和公开发布的漏洞(CVE)“正在急剧增长”,“迄今为止,已经收录超过10万个已知漏洞。”

研究人员在论文中讨论了哪些美国对手可能会注意到这种漏洞。他们提到了俄罗斯、中国和其他国家,并指出在利用软件漏洞时,这些国家/地区使用这三种平台的方式有所不同。

根据研究,2017年与俄罗斯相关的网络攻击涉及200,000多名受害者,影响了300,000多台计算机,并造成了约40亿美元的损失。

研究称:“发生这些攻击是因为现代软件中存在各种已知漏洞,而一些高级持续威胁组织有效地利用了这些漏洞来进行网络攻击。”

机器人和人类都构成威胁

研究人员还区分了人类产生的社交媒体流量和机器人发出的自动消息。研究人员发现,由人类编写的社交媒体信息比机器生成的信息能更有效地提高人们对软件漏洞的认识,因此对二者的区分非常重要。

研究者通过Botometer这个工具来区分人类信息和机器信息。Botometer能够通过用户、朋友、社交网络、时间和内容等多个维度的分析来区分机器与人类,尤其是在Twitter上,Botometer区分人类和“僵尸粉”的准确性非常高。

总结

大多数CVE信息在Twitter和Reddit之前就在GitHub上开始讨论,甚至在漏洞正式发布之前就开始了,这对于网络分析师而言是至关重要的信息。分析人员以及产品供应商和代码库所有者可以使用社交媒体中的漏洞情报,提高开发人员和普通用户对漏洞和软件补丁的认识。

研究指出,对社交媒体传播软件漏洞信息的能力的认识,为政府、企业和机构给出了一个非常重要的提示:

在预测和确定漏洞优先级方面,社交媒体往往会比官方渠道更及时更有效。

此外,对现社交环境中传播的漏洞和补丁信息进行持续量化分析,应当成为企业网络安全风险管理和威胁情报工作的重要内容。

来源 | 安全牛

限时免费!

中科天齐Wukong(悟空)百万开源代码缺陷检测活动正在进行中······

在这里插入图片描述

这篇关于社交媒体竟然是最重要的漏洞披露渠道?的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/876614

相关文章

H5漂流瓶社交系统源码

一个非常有创意的H5漂流瓶社交系统源码,带完整前端h5和后台管理系统。 环境:Nginx 1.20.1-MySQL 5.6.50-PHP-7.3 代码下载

【CTF Web】BUUCTF Upload-Labs-Linux Pass-13 Writeup(文件上传+PHP+文件包含漏洞+PNG图片马)

Upload-Labs-Linux 1 点击部署靶机。 简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 注意 1.每一关没有固定的通关方法,大家不要自限思维! 2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路

Cmake之3.0版本重要特性及用法实例(十三)

简介: CSDN博客专家、《Android系统多媒体进阶实战》一书作者 新书发布:《Android系统多媒体进阶实战》🚀 优质专栏: Audio工程师进阶系列【原创干货持续更新中……】🚀 优质专栏: 多媒体系统工程师系列【原创干货持续更新中……】🚀 优质视频课程:AAOS车载系统+AOSP14系统攻城狮入门视频实战课 🚀 人生格言: 人生从来没有捷径,只有行动才是治疗恐惧

研究生生涯中一些比较重要的网址

Mali GPU相关: 1.http://malideveloper.arm.com/resources/sdks/opengl-es-sdk-for-linux/ 2.http://malideveloper.arm.com/resources/tools/arm-development-studio-5/ 3.https://www.khronos.org/opengles/sdk/do

平时工作学习重要注意的问题

总体原则:抓住重点,条理清晰,可回溯,过程都清楚。 1 要有问题跟踪表,有什么问题,怎么解决的,解决方案。 2 要有常用操作的手册,比如怎么连sqlplus,一些常用的信息,保存好,备查。

matlab一些基本重要的指令

重点内容 运行MATLAB的帮助demo,在Command Window 输入 “demo”,或在Launch Pad 选项卡“demos” 任何时候都可以: 清除Command Window内容:clc 清除Figure Window(图形窗口) clf 清除workspace 变量内容: clear 注意:M脚本文件和输入指令中的变量都在workspace中,为避免变量冲突,一般在

知名AIGC人工智能专家培训讲师唐兴通谈AI大模型数字化转型数字新媒体营销与数字化销售

在过去的二十年里,中国企业在数字营销领域经历了一场惊心动魄的变革。从最初的懵懂无知到如今的游刃有余,这一路走来,既有模仿学习的艰辛,也有创新突破的喜悦。然而,站在人工智能时代的门槛上,我们不禁要问:下一个十年,中国企业将如何在数字营销的浪潮中乘风破浪? 一、从跟风到精通:中国数字营销的进化史 回顾过去,中国企业在数字营销领域的发展可谓是一部"跟风学习"的编年史。从最初的搜索引擎营销(SEM),

Java反序列化漏洞-TemplatesImpl利用链分析

文章目录 一、前言二、正文1. 寻找利用链2. 构造POC2.1 生成字节码2.2 加载字节码1)getTransletInstance2)defineTransletClasses 2.3 创建实例 3. 完整POC 三、参考文章 一、前言 java.lang.ClassLoader#defineClass defineClass可以加载字节码,但由于defineClas

Post-Training有多重要?一文带你了解全部细节

1. 简介 随着LLM学界和工业界日新月异的发展,不仅预训练所用的算力和数据正在疯狂内卷,后训练(post-training)的对齐和微调方法也在不断更新。InstructGPT、WebGPT等较早发布的模型使用标准RLHF方法,其中的数据管理风格和规模似乎已经过时。近来,Meta、谷歌和英伟达等AI巨头纷纷发布开源模型,附带发布详尽的论文或报告,包括Llama 3.1、Nemotron 340

C++数据结构重要知识点(5)(哈希表、unordered_map和unordered_set封装)

1.哈希思想和哈希表 (1)哈希思想和哈希表的区别 哈希(散列、hash)是一种映射思想,本质上是值和值建立映射关系,key-value就使用了这种思想。哈希表(散列表,数据结构),主要功能是值和存储位置建立映射关系,它通过key-value模型中的key来定位数组的下标,将value存进该位置。 哈希思想和哈希表数据结构这两个概念要分清,哈希是哈希表的核心思想。 (2)unordered