至顶网安全频道 06月08日 综合消息:
研究人员发现,NVD(美国漏洞数据库)和安全权威公布的电脑漏洞大有可能在暗网(Dark Web)上已被分享了好多天了。
网络安全公司Recorded Future对漏洞信息在NVD公布以前是否被暗网及安全信息媒体披露做了一项研究,星期三发布了研究结果。所谓的暗网是指互联网未被索引的部分,暗网只能通过Tor网络访问。
据Recorded Future介绍,漏洞信息的公开披露及以正式通知的形式发送给各机构和安全公司的平均延迟为七天,而且,该研究考查了曾公开发布的12500个共有漏洞和弱点暴露(CVE),其中超过75%的CVE在进入CVE数据库之前已经在网上被披露。
披露者包括媒体、博客以及Dark Web、Pastebin粘贴网站以及地下犯罪论坛等。
Recorded Future称该结果“表明官方漏洞公开渠道的可靠性成疑”。
Recorded Future 表示,“非官方和官方渠道之间CVE的这种差异加重了CISO和安全团队的负担,导致这些人在漏洞大开时仍不知情,因而无法就安全策略在掌握了信息后再做出策略性决策。”
Recorded Future的研究始于2016年初,研究还显示,供应商公告和NVD的发布之间也存在时间差异。记录中最快为一天,而最慢的是在172天后NVD才发布。
Recorded Future考查了1500个在NVD发布前已被透露的漏洞,在暗网上透露的漏洞的5%具有极高的安全问题。另外,在地下网络上披露的漏洞的30%是用非英语发表的。
具体到Dirty Cow漏洞一例,Pastebin首先披露了Dirty Cow漏洞的概念验证(POC),Dirty Cow漏洞15天后才在NVD发布。
好文章,需要你的鼓励
阿里巴巴推出全新 Qwen3 系列人工智能模型,采用混合专家技术在编码、数学和推理测试中超越部分美国顶级模型,支持119种语言,助力实现超越人类智慧的通用人工智能目标。
OpenAI更新ChatGPT搜索功能,新增购物体验,提供产品推荐与直购链接,力图挑战Google购物服务。
这篇文章介绍了 14 款在心理健康领域具有创新性的生成式 AI 工具,涵盖正念应用、聊天机器人、个性化疗法助手以及 AI 驱动的日记记录。虽然 AI 还无法完全替代专业治疗师的人性关怀,但这些平台正在为更广泛人群提供便捷、匿名的支持和指导,推动数字心理健康护理的普及与革新。
Nvidia 推出基于 BlueField 处理单元的 DOCA Argus 框架,实现对 AI 工作负载的无代理实时威胁检测,并与 Cisco 合作,为 AI 基础设施提供全方位安全防护。