漏洞披露究竟怎么做更”合适“?看看美国相关部门怎么看


发布人:admin分类:网络安全浏览量:37发布时间:2017-11-29

CTO训练营 | 12月3-5日,深圳,是时候成为优秀的技术管理者了


当安全研究者发现一个软件产品漏洞后,最好的漏洞披露方式是什么?软件供应商又应该如何接收和响应漏洞披露?这类问题的解答正凸显关切和重要,因为伴随着信息软件商品的涌现,随之而来就是各种网络安全漏洞。而在实际中,作为事件相关方,处理类似问题,或许需要更多的支撑数据和参考观点。

漏洞披露究竟怎么做更”合适“?看看美国相关部门怎么看

因此,在美国国家电信与信息管理局(NTIA)的发起下,我们就“多方利益”相关的漏洞披露处理态度和方法,对一些安全研究者和技术运营商开展了调查。调查分三个工作组,作为成员单位,我们Rapid7负责关注漏洞披露处理的采用方式和意识驱动相关问题,即“意识与采用工作组”(Awareness and Adoption Working Group)的调查。

我们认为这项调查非常及时和重要,因为就目前来说,虽然漏洞披露不再是一个新话题,但是一些推荐性的漏洞处理方法还相对较少;另外,作为漏洞事件双方,安全研究者和技术运营提供商由于缺乏相互了解,不断导致冲突增多。调查的另一层目的还在于,了解一些观点是否过时、被夸大或具有代表性。共有285位技术运营提供商代表和414位代表接受调查。

主要调查结果

安全研究者调查

绝大多数安全研究者(92%)都参与过某种形式的协调性漏洞披露活动;

安全研究者选择公开的漏洞披露方式,主要原因在于对漏洞披露方式的失望,大多为围绕与技术运营商的沟通问题;

漏洞披露究竟怎么做更”合适“?看看美国相关部门怎么看

60%的安全研究者表示,出于对法律诉讼的担心,他们不会选择直接把漏洞披露给技术运营商;

漏洞披露究竟怎么做更”合适“?看看美国相关部门怎么看

15%的安全研究者希望通过漏洞披露得到赏金,而70%希望与技术运营商定期就漏洞问题沟通。

漏洞披露究竟怎么做更”合适“?看看美国相关部门怎么看

技术运营商调查

  • 接受调查的技术运营商可以分为”更成熟“和”不够成熟“两种,,其“更成熟”的占比达60%至80%;
  • 大多数”更成熟“的运营商(76%)都想建立自己的漏洞处理机制,只有一小部分持观望态度,或寄希望于一些国际指导标准;
  • ”更成熟“的运营商认为,出于企业责任感和对客户负责的态度,希望制订漏洞披露政策;
  • 33%的运营商则认为,漏洞处理机制应该是服务供应商的事。

漏洞披露处理的意义

随着物联网和生活中各式各样网络安全威胁的兴起,我们看到了前所未有的技术复杂度和连接性,在安全研究者和技术运营商之间,建立对漏洞的有效披露处理机制已经变得尤为关键。

在未来,我们希望调查能帮助一些推荐性的漏洞实践处理方法和意识培养的实施。目前,我们已经看到了一些漏洞披露方面的显著进步和变化,如《数字千年法案》对安全研究的豁免、美国食药监局(FDA)对医疗设备的售后网络安全问题指导、美国国家公路交通安全管理局(NHTSA)对漏洞披露指导的建议,以及国防、航空、汽车、医疗等行业开展的漏洞披露和处理项目,这些都是关于漏洞披露被越显重视的典型事例,都是漏洞披露和处理机制的最佳实践探索。

调查数据释放了一种信息:大多数受访者表示他们认同漏洞协调处理带来的好处,特别是,很多安全研究者和成熟的技术运营商愿意投入更多时间和资源来做这件事。

然而,仍然还有一些观念和交流挑战存在于安全研究者和运营商之间,最大的部分来自于,60%的安全研究者对运营商采取法律诉讼的担心,针对这些存在的问题,报告建议:

  • 应该鼓励更多的协调机制,来加强安全研究者和运营商之间的交流,而不是简单直接向公众公开披露。为保护安全研究者,应该从法律层面消除障碍,或通过法律或漏洞披露策略明确责任权利。成熟和不成熟的运营商都应该认真积极学习相关的国际标准,如ISO系列,其中就描述了软件开发生命周期内实施漏洞处理机制带来的成本节约好处。

【编辑推荐】

  1. 云安全与IT系统漏洞管理成为IT决策者最关注的话题
  2. 黑客世界的隐秘江湖:1个漏洞叫价300万
  3. 新0-Day漏洞或将给Linux桌面发行版带来浩劫
  4. 通过静态分析检测二进制代码中的Use-After-Free漏洞
  5. 流行应用AddThis存在postMessage XSS漏洞漏洞,百万站点受影响
【责任编辑:51CTO_OS TEL:(010)68476606】

点赞 0

被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:22108271(PV) 页面执行时间:75.497(MS)
  • xml
  • 网站地图