|
|
|
|
移动端
创建专栏

重要的漏洞披露渠道:社交媒体

本文来源:http://www.ssb69.com/blog_tianya_cn/

菲律宾申博直营现金网,我侧头一看,咦,这不是以太的妹子嘛,还颇有些姿色呢。我就和同事们说要看一个公司未来两到三年的发展,不能只看到现在。这个人群从2015年开始已经为负增长,导致外出农民工的年均增长率大幅度下降,从2005-2010年期间的4.0%和2010-2013年期间的2.7%,降低到2014年的1.3%和2015年的0.4%。  “变态”的商业  ○一个供应链企业的商业价值观  “电商还没有供应链这个核心竞争力!”这就是周国辉,他并不喜欢任何花哨的商业概念,也很少面对公众媒体。

  类金融模式同样也存在于制造业中的核心企业,其利用自身在产业链中的强势地位,对上游供应商要求先货后款,而对下游经销商则要求先款后货,形成“两头吃”的类金融格局,无偿占用上下游的资金。耀莱给出了5个亿的保底价,还引入猫眼做发行,投入了可能是今年最大规模的票补。  多位业内人士认为,因为手机银行具有随时随地办理业务等功能,在未来肯定是主要渠道。选房就是选开发商,这话是正确的。

行情12月07日【广西IT前线今日报道】惠普Pavilion14-AL131TX搭载第七代英特尔#174;酷睿i5-7200U处理器,采用KabyLake架构,运用成熟的14纳米工艺,功耗较第六代更低。行情12月07日【广西IT前线今日报道】惠普Pavilion14-AL131TX搭载第七代英特尔#174;酷睿i5-7200U处理器,采用KabyLake架构,运用成熟的14纳米工艺,功耗较第六代更低。  目前,papi酱的微信公众号阅读量保持在20万左右,篇篇10w+,但是,Papi酱视频全网播放量整体趋势走低,尤其是8月后,papi酱视频播放量低于均值。  变压器堪称是变电站的“心脏”,在电力员工的注视中,一台庞大而沉重的变压器在液压千斤顶的作用下,咬住钢管轨道,被缓缓送进变电站。

一提到漏洞披露,人们首先想到的是漏洞赏金平台或者国家漏洞库之类,但事实上,最重要的、最“及时”的漏洞披露渠道,往往是社交媒体。

作者:安全牛|2020-05-11 11:03

一提到漏洞披露,人们首先想到的是漏洞赏金平台或者国家漏洞库之类,但事实上,最重要的、最“及时”的漏洞披露渠道,往往是社交媒体。

据美国能源部太平洋西北国家实验室(PNNL)的计算机科学家称,在政府官方漏洞网站披露软件漏洞之前,漏洞信息往往已经在社交媒体上展开讨论,这种做法可能构成国家安全威胁,但也为政府网络安全提供了一个机会,那就是在社交媒体尚更紧密地监视关于软件漏洞的讨论。

PNNL数据科学和分析小组高级研究科学家Svitlana Volkova说:

一些软件漏洞已被攻击者作为目标并加以利用。我们想看看围绕这些漏洞的讨论是如何演变的,社会化网络安全是一个巨大的威胁。政府和企业迫切需要了解、衡量不同类型漏洞如何跨平台传播。

社交媒体(尤其是GitHub)引领漏洞披露潮流

PNNL的研究表明,从2015年到2017年,有四分之一的软件漏洞讨论首先出现在社交媒体网站上,然后才录入国家漏洞数据库(NVD、美国官方漏洞信息存储库)。此外,对于这部分漏洞,社交媒体上开始讨论近90天后才能显示在国家数据库中。(上图)

该研究集中在三个社交平台(GitHub、Twitter和Reddit)上,并评估了关于软件漏洞的讨论如何在每个社交平台上传播。分析表明,GitHub是程序员常用的网络和开发站点,到目前为止,这三个站点中最有可能成为讨论软件漏洞的起点。

研究人员写道,将GitHub作为讨论软件漏洞的起点是有道理的,因为GitHub是面向软件开发的平台。

研究人员发现,将近47%的漏洞信息讨论开始于GitHub,然后向Twitter和Reddit扩散(上图)。大约16%的漏洞在被发布到官方网站之前就已在GitHub上开始讨论。

无处不在的代码库漏洞

研究指出,几乎所有的商业软件代码库都包含开源共享代码,其中将近80%的代码库至少包含一个漏洞。

此外,每个商业软件代码库平均包含64个漏洞。研究称,国家漏洞数据库负责管理和公开发布的漏洞(CVE)“正在急剧增长”,“迄今为止,已经收录超过10万个已知漏洞。”

研究人员在论文中讨论了哪些美国对手可能会注意到这种漏洞。他们提到了俄罗斯、中国和其他国家,并指出在利用软件漏洞时,这些国家/地区使用这三种平台的方式有所不同。

根据研究,2017年与俄罗斯相关的网络攻击涉及200,000多名受害者,影响了300,000多台计算机,并造成了约40亿美元的损失。

研究称:“发生这些攻击是因为现代软件中存在各种已知漏洞,而一些高级持续威胁组织有效地利用了这些漏洞来进行网络攻击。”

机器人和人类都构成威胁

研究人员还区分了人类产生的社交媒体流量和机器人发出的自动消息。研究人员发现,由人类编写的社交媒体信息比机器生成的信息能更有效地提高人们对软件漏洞的认识,因此对二者的区分非常重要。

研究者通过Botometer这个工具来区分人类信息和机器信息。Botometer能够通过用户、朋友、社交网络、时间和内容等多个维度的分析来区分机器与人类,尤其是在Twitter上,Botometer区分人类和“僵尸粉”的准确性非常高。

总结

大多数CVE信息在Twitter和Reddit之前就在GitHub上开始讨论,甚至在漏洞正式发布之前就开始了,这对于网络分析师而言是至关重要的信息。分析人员以及产品供应商和代码库所有者可以使用社交媒体中的漏洞情报,提高开发人员和普通用户对漏洞和软件补丁的认识。

研究指出,对社交媒体传播软件漏洞信息的能力的认识,为政府、企业和机构给出了一个非常重要的提示:

在预测和确定漏洞优先级方面,社交媒体往往会比官方渠道更及时更有效。

此外,对现社交环境中传播的漏洞和补丁信息进行持续量化分析,应当成为企业网络安全风险管理和威胁情报工作的重要内容。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

菲律宾申博直营现金网戳这里,看该作者更多好文   

【编辑推荐】

  1. 新冠重灾区意大利面临两大网络安全威胁
  2. 国外网络安全厂商如何“免费抗疫”
  3. 漏洞赏金平台Bugcrowd融资3000万美元
  4. 企业网络安全投资的法拉利陷阱
  5. 苹果确认:几乎所有iPhone都存在一个严重漏洞
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
大家都在看
猜你喜欢
www.38333.com 菲律宾申博娱乐管理网 申博娱乐 www.sb61.com 申博最新网址 申博代理有限公司登入
申博138娱乐官方网 申愽下载直营网 菲律宾申博开户登入 申博现金赌场登入 菲律宾申博网址导航 申博现金投注登入
申博线路检测 申博游戏现金网直营 申博游戏登录 菲律宾申博管理网 申博网址 申博直营现金网