Обычно сведения об уязвимостях сначала появляются в социальных сетях, блогах экспертов, средствах массовой информации, площадках даркнета, и только после добавляются в Национальную базу данных уязвимостей (NVD), которая управляется Национальным институтом стандартов и технологий США.
Эксперты Recorded Future утверждают, что ввиду разрыва между официальными и неофициальными сообщениями об уязвимостях ИБ-специалисты сталкиваются с трудностями при принятии взвешенных решений в отношении стратегии безопасности.
Для понимания данной ситуации специалисты изучили 12517 различных уязвимостей, обнародованных в NVD на протяжении 2016 и 2017 годов. Оказалось, что сведения о 75% уязвимостей обнародованы в интернете и даркнете раньше, чем были добавлены в официальную базу. Временной промежуток между обнародованием сведений о баге и их добавлением в NVD в среднем достигает 7 дней. Эксперты подчеркивают, что за этот промежуток можно создать программу, позволяющую использовать уязвимость, и провести атаку на предприятие, не подозревающее о появлении новой угрозы.
Специалисты утверждают, что около 25% уязвимостей появляются в сети за 50 дней до официальных уведомлений, а 10% находятся вне зоны внимания исследователей свыше 170 дней.
Эксперты подчеркивают, что свыше 500 уязвимостей, сведения о которых в прошлом году появились в интернете, все еще не добавлены в базу. По этой причине в Recorded Future настоятельно советуют ИБ-специалистам сохранять бдительность и не полагаться лишь на данные, присутствующие в NVD и официальные источники.
