一提到漏洞披露，人們首先想到的是漏洞賞金平臺或者國家漏洞庫之類，但事實上，最重要的、最“及時”的漏洞披露渠道，往往是社交媒體。

據美國能源部太平洋西北國家實驗室（PNNL）的計算機科學家稱，在政府官方漏洞網站披露軟件漏洞之前，漏洞信息往往已經在社交媒體上展開討論，這種做法可能構成國家安全威脅，但也爲政府網絡安全提供了一個機會，那就是在社交媒體尚更緊密地監視關於軟件漏洞的討論。

PNNL數據科學和分析小組高級研究科學家Svitlana Volkova說：

一些軟件漏洞已被攻擊者作爲目標並加以利用。我們想看看圍繞這些漏洞的討論是如何演變的，社會化網絡安全是一個巨大的威脅。政府和企業迫切需要了解、衡量不同類型漏洞如何跨平臺傳播。

社交媒體（尤其是GitHub）引領漏洞披露潮流

PNNL的研究表明，從2015年到2017年，有四分之一的軟件漏洞討論首先出現在社交媒體網站上，然後才錄入國家漏洞數據庫（NVD、美國官方漏洞信息存儲庫）。此外，對於這部分漏洞，社交媒體上開始討論近90天后才能顯示在國家數據庫中。(上圖)

該研究集中在三個社交平臺（GitHub、Twitter和Reddit）上，並評估了關於軟件漏洞的討論如何在每個社交平臺上傳播。分析表明，GitHub是程序員常用的網絡和開發站點，到目前爲止，這三個站點中最有可能成爲討論軟件漏洞的起點。

研究人員寫道，將GitHub作爲討論軟件漏洞的起點是有道理的，因爲GitHub是面向軟件開發的平臺。

研究人員發現，將近47％的漏洞信息討論開始於GitHub，然後向Twitter和Reddit擴散（上圖）。大約16％的漏洞在被髮布到官方網站之前就已在GitHub上開始討論。

無處不在的代碼庫漏洞

研究指出，幾乎所有的商業軟件代碼庫都包含開源共享代碼，其中將近80％的代碼庫至少包含一個漏洞。

此外，每個商業軟件代碼庫平均包含64個漏洞。研究稱，國家漏洞數據庫負責管理和公開發布的漏洞（CVE）“正在急劇增長”，“迄今爲止，已經收錄超過10萬個已知漏洞。”

研究人員在論文中討論了哪些美國對手可能會注意到這種漏洞。他們提到了俄羅斯、中國和其他國家，並指出在利用軟件漏洞時，這些國家/地區使用這三種平臺的方式有所不同。

根據研究，2017年與俄羅斯相關的網絡攻擊涉及200,000多名受害者，影響了300,000多臺計算機，並造成了約40億美元的損失。

研究稱：“發生這些攻擊是因爲現代軟件中存在各種已知漏洞，而一些高級持續威脅組織有效地利用了這些漏洞來進行網絡攻擊。”

機器人和人類都構成威脅

研究人員還區分了人類產生的社交媒體流量和機器人發出的自動消息。研究人員發現，由人類編寫的社交媒體信息比機器生成的信息能更有效地提高人們對軟件漏洞的認識，因此對二者的區分非常重要。

研究者通過Botometer這個工具來區分人類信息和機器信息。Botometer能夠通過用戶、朋友、社交網絡、時間和內容等多個維度的分析來區分機器與人類，尤其是在Twitter上，Botometer區分人類和“殭屍粉”的準確性非常高。

總結

大多數CVE信息在Twitter和Reddit之前就在GitHub上開始討論，甚至在漏洞正式發佈之前就開始了，這對於網絡分析師而言是至關重要的信息。分析人員以及產品供應商和代碼庫所有者可以使用社交媒體中的漏洞情報，提高開發人員和普通用戶對漏洞和軟件補丁的認識。

研究指出，對社交媒體傳播軟件漏洞信息的能力的認識，爲政府、企業和機構給出了一個非常重要的提示：

在預測和確定漏洞優先級方面，社交媒體往往會比官方渠道更及時更有效。

此外，對現社交環境中傳播的漏洞和補丁信息進行持續量化分析，應當成爲企業網絡安全風險管理和威脅情報工作的重要內容。

聲明：本文來自安全牛，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多信息。如有侵權，請聯繫 [email protected]。