當(dāng)安全研究者發(fā)現(xiàn)一個(gè)軟件產(chǎn)品漏洞后,最好的漏洞披露方式是什么?軟件供應(yīng)商又應(yīng)該如何接收和響應(yīng)漏洞披露?這類問(wèn)題的解答正凸顯關(guān)切和重要,因?yàn)榘殡S著信息軟件商品的涌現(xiàn),隨之而來(lái)就是各種網(wǎng)絡(luò)安全漏洞。而在實(shí)際中,作為事件相關(guān)方,處理類似問(wèn)題,或許需要更多的支撐數(shù)據(jù)和參考觀點(diǎn)。
因此,在美國(guó)國(guó)家電信與信息管理局(NTIA)的發(fā)起下,我們就“多方利益”相關(guān)的漏洞披露處理態(tài)度和方法,對(duì)一些安全研究者和技術(shù)運(yùn)營(yíng)商開展了調(diào)查。調(diào)查分三個(gè)工作組,作為成員單位,我們Rapid7負(fù)責(zé)關(guān)注漏洞披露處理的采用方式和意識(shí)驅(qū)動(dòng)相關(guān)問(wèn)題,即“意識(shí)與采用工作組”(Awareness and Adoption Working Group)的調(diào)查。(點(diǎn)此獲取調(diào)查報(bào)告)
我們認(rèn)為這項(xiàng)調(diào)查非常及時(shí)和重要,因?yàn)榫湍壳皝?lái)說(shuō),雖然漏洞披露不再是一個(gè)新話題,但是一些推薦性的漏洞處理方法還相對(duì)較少;另外,作為漏洞事件雙方,安全研究者和技術(shù)運(yùn)營(yíng)提供商由于缺乏相互了解,不斷導(dǎo)致沖突增多。調(diào)查的另一層目的還在于,了解一些觀點(diǎn)是否過(guò)時(shí)、被夸大或具有代表性。共有285位技術(shù)運(yùn)營(yíng)提供商代表和414位代表接受調(diào)查。
主要調(diào)查結(jié)果
安全研究者調(diào)查
絕大多數(shù)安全研究者(92%)都參與過(guò)某種形式的協(xié)調(diào)性漏洞披露活動(dòng);
安全研究者選擇公開的漏洞披露方式,主要原因在于對(duì)漏洞披露方式的失望,大多為圍繞與技術(shù)運(yùn)營(yíng)商的溝通問(wèn)題;
60%的安全研究者表示,出于對(duì)法律訴訟的擔(dān)心,他們不會(huì)選擇直接把漏洞披露給技術(shù)運(yùn)營(yíng)商;
15%的安全研究者希望通過(guò)漏洞披露得到賞金,而70%希望與技術(shù)運(yùn)營(yíng)商定期就漏洞問(wèn)題溝通。
技術(shù)運(yùn)營(yíng)商調(diào)查
接受調(diào)查的技術(shù)運(yùn)營(yíng)商可以分為”更成熟“和”不夠成熟“兩種,,其“更成熟”的占比達(dá)60%至80%;
大多數(shù)”更成熟“的運(yùn)營(yíng)商(76%)都想建立自己的漏洞處理機(jī)制,只有一小部分持觀望態(tài)度,或寄希望于一些國(guó)際指導(dǎo)標(biāo)準(zhǔn);
”更成熟“的運(yùn)營(yíng)商認(rèn)為,出于企業(yè)責(zé)任感和對(duì)客戶負(fù)責(zé)的態(tài)度,希望制訂漏洞披露政策;
33%的運(yùn)營(yíng)商則認(rèn)為,漏洞處理機(jī)制應(yīng)該是服務(wù)供應(yīng)商的事。
漏洞披露處理的意義
隨著物聯(lián)網(wǎng)和生活中各式各樣網(wǎng)絡(luò)安全威脅的興起,我們看到了前所未有的技術(shù)復(fù)雜度和連接性,在安全研究者和技術(shù)運(yùn)營(yíng)商之間,建立對(duì)漏洞的有效披露處理機(jī)制已經(jīng)變得尤為關(guān)鍵。
在未來(lái),我們希望調(diào)查能幫助一些推薦性的漏洞實(shí)踐處理方法和意識(shí)培養(yǎng)的實(shí)施。目前,我們已經(jīng)看到了一些漏洞披露方面的顯著進(jìn)步和變化,如《數(shù)字千年法案》對(duì)安全研究的豁免、美國(guó)食藥監(jiān)局(FDA)對(duì)醫(yī)療設(shè)備的售后網(wǎng)絡(luò)安全問(wèn)題指導(dǎo)、美國(guó)國(guó)家公路交通安全管理局(NHTSA)對(duì)漏洞披露指導(dǎo)的建議,以及國(guó)防、航空、汽車、醫(yī)療等行業(yè)開展的漏洞披露和處理項(xiàng)目,這些都是關(guān)于漏洞披露被越顯重視的典型事例,都是漏洞披露和處理機(jī)制的最佳實(shí)踐探索。
調(diào)查數(shù)據(jù)釋放了一種信息:大多數(shù)受訪者表示他們認(rèn)同漏洞協(xié)調(diào)處理帶來(lái)的好處,特別是,很多安全研究者和成熟的技術(shù)運(yùn)營(yíng)商愿意投入更多時(shí)間和資源來(lái)做這件事。
然而,仍然還有一些觀念和交流挑戰(zhàn)存在于安全研究者和運(yùn)營(yíng)商之間,最大的部分來(lái)自于,60%的安全研究者對(duì)運(yùn)營(yíng)商采取法律訴訟的擔(dān)心,針對(duì)這些存在的問(wèn)題,報(bào)告建議:
應(yīng)該鼓勵(lì)更多的協(xié)調(diào)機(jī)制,來(lái)加強(qiáng)安全研究者和運(yùn)營(yíng)商之間的交流,而不是簡(jiǎn)單直接向公眾公開披露。為保護(hù)安全研究者,應(yīng)該從法律層面消除障礙,或通過(guò)法律或漏洞披露策略明確責(zé)任權(quán)利。成熟和不成熟的運(yùn)營(yíng)商都應(yīng)該認(rèn)真積極學(xué)習(xí)相關(guān)的國(guó)際標(biāo)準(zhǔn),如ISO系列,其中就描述了軟件開發(fā)生命周期內(nèi)實(shí)施漏洞處理機(jī)制帶來(lái)的成本節(jié)約好處。
**參考來(lái)源:Rapid7,FB小編clouds編譯,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf.COM。