基于2014年上半年收集的数据,IBM X-Force的安全研究人员近日预测,公开报道的漏洞数量今年将降至 8000个以下,这一数量比前两年均减少数百个。但IBM的研究人员还表示,对漏洞严重性进行评级的系统通常不能反映出它们对用户构成的真正风险。
根据IBM这份报告,基于CVSS的评分,今年上半年披露的漏洞中有67%的漏洞可被归入中等风险水平。IBM X-Force小组从软件厂商、安全行业邮件列表以及其他来源公布的报告收集了大约3900份安全漏洞报告。研究团队在近日公布的报告中指出,如果漏洞披露以同样的速度持续下去,那么2014年的漏洞数量将降至8000个以下。
过去,安全专家曾争辩称,漏洞的整体数量与其影响并不相关。然而,尽管诸如通用安全漏洞评分系统(CVSS)等尝试将漏洞严重性评估方法标准化,但仍然有许多例子显示,某些漏洞所构成的真正风险并未被准确表示出来。这一评分系统是由美国国家基础设施顾问委员会开发、国际计算机网络安全应急组织联盟维护的一个开放并被各产品厂商免费采用的行业标准。CVSS从基本评估、时效性评估和环境评估三个方面进行安全评估,最终得到一个介于1到10之间的数字,分值越大,风险越大。
一个最好的例证就是今年4月初在OpenSSL库中发现的“心脏流血”漏洞,攻击者能利用该缺陷从网络服务器的内存中窃取敏感信息。这一漏洞获得了CVSS基本评分5分(总分为10分),使其归入中等风险分类。而事实上,“心脏流血”漏洞的真正影响比CVSS评估的分数所揭示的要大得多。