Большинство уязвимостей сначала раскрываются online и в даркнете

Более трех четвертей уязвимостей раскрываются online до внесения в Национальную базу уязвимостей (National Vulnerability Database, NVD). На новостных сайтах, в блогах и соцсетях, а также в даркнете подробности о проблемах безопасности в ПО публикуются чаще, чем в NVD. К такому выводу пришли эксперты компании Recorded Future на основании анализа собранных в начале 2016 года данных о свыше 12,5 тыс. уязвимостей.

По словам исследователей, в среднем разница между раскрытием уязвимости в интернете и ее внесением в NVD составляет семь дней. В эти семь дней организации подвергаются большому риску кибератак, что ставит под сомнение надежность официальных каналов раскрытия уязвимостей, считают эксперты. Промежуток между выходом уведомления об уязвимости от производителя и внесением ее в NVD может быть еще больше.

Каждая 20-я уязвимость (5%) появляется в даркнете до того, как попадает в NVD. К примеру, PoC-эксплоит для уязвимости Dirty Cow (CVE-2016-5195) был опубликован на Pastebin за 15 дней до NVD. Спустя всего два дня с момента публикации на Pastebin пост был переведен на русский язык и опубликован на хакерском форуме. Более 500 раскрытых в прошлом году уязвимостей до сих пор не внесены в NVD.

Национальная база уязвимостей – разработанный Институтом стандартов и технологий США правительственный централизованный репозиторий данных об управлении уязвимостями.