圖片來源: 

FSTEC

曾經檢驗中國及美國國家漏洞資料庫(National Vulnerability Database,NVD)的網路科技業者Recorded Future,在本周公布了針對俄羅斯國家漏洞資料庫的分析結果,發現俄羅斯的漏洞資料庫不但只含有10%的已知漏洞,而且漏洞的平均發布時間比中國晚83天,亦比美國晚了50天。

這可能與俄羅斯漏洞資料庫的背景有關。俄羅斯的漏洞資料庫簡稱為BDU,是由俄羅斯技術與出口管制聯邦服務( Federal Service for Technical and Export Control of Russia,FSTEC)經營,FSTEC則是負責保護國家機密與支持間諜及反間諜活動的軍事組織,且一直到2014年才推出BDU,落後中國建立CNNVD的2009年,以及美國NVD的2000年。

根據Recorded Future截至今年3月底的調查,相較於NVD所公布的107,901個CVEs(Common Vulnerabilities and Exposures,通用漏洞披露),BDU只公布了11,036個漏洞資訊,僅佔全球已知漏洞的10%左右。

儘管FSTEC宣稱BDU是為了提供相關人員對資安系統既有威脅的認識,且適用於開發人員、資安專家、測試實驗室或其它組織,分析卻顯示該資料庫主要出版的是針對俄羅斯政府與重要基礎設施所使用系統的安全漏洞,此外,BDU上發布最快的漏洞中,有75%與瀏覽器或工業控制軟體有關。

而BDU的漏洞計算方式也與NVD不同,有時FSTEC會把多個CVE視為單一漏洞,有時則會把單一CVE根據作業系統的差異而拆為多個漏洞。

有趣的是,俄羅斯的APT(Advanced persistent threat,先進持續性威脅)駭客集團在過去4年來所開採的49個漏洞中,有61%曾出現在BDU中,遠高於平均的10%,很可能是因為俄羅駭客主要參考BDU所公布的漏洞所致。

Recorded Future亦猜測,FSTEC的任務既是保護俄羅斯政府的資訊系統,BDU或者代表了俄羅斯自身也曝露於相關漏洞,可進一步了解該國政府的資訊系統。


熱門新聞

Advertisement