看看英國(guó)GCHQ的漏洞披露策略
責(zé)編:gltian |2018-12-03 14:45:4911月30日,英國(guó)間諜機(jī)構(gòu)政府通信總部(GCHQ)及其信息安全部門NCSC發(fā)布了安全漏洞披露策略,概述了其是如何確定是否將漏洞追捕結(jié)果告知廠商的。
NCSC去年向微軟披露了3個(gè)漏洞,包括兩個(gè) Windows Defender 關(guān)鍵漏洞和一個(gè)Edge及IE11瀏覽器腳本引擎遠(yuǎn)程代碼執(zhí)行漏洞。
向微軟報(bào)告的這三個(gè)漏洞都經(jīng)過了30號(hào)公布的“漏洞公平裁決過程”,該過程由3層決策系統(tǒng)組成,英國(guó)政府用以權(quán)衡是否向廠商報(bào)告其發(fā)現(xiàn)的安全漏洞。
但為什么要在這個(gè)時(shí)候公開這一漏洞披露決策過程呢?GCHQ稱,出于讓公眾放心的目的,英國(guó)調(diào)查權(quán)專員已同意監(jiān)察該公平裁決過程的實(shí)際操作。
這一解釋與當(dāng)天生效的一項(xiàng)要求不謀而合:使用《調(diào)查權(quán)法案》“最具侵入性的調(diào)查權(quán)力”需經(jīng)過法官的批準(zhǔn)。
GCHQ表示,其默認(rèn)立場(chǎng)是漏洞披露需與國(guó)家利益一致。畢竟,GCHQ和NCSC知道自己可能不具備某一漏洞的專門知識(shí)。披露漏洞可以讓供應(yīng)商為政府機(jī)構(gòu)、公司企業(yè)和消費(fèi)者提供能夠保護(hù)其計(jì)算機(jī)的補(bǔ)丁。
是否披露的問題是政府和科技行業(yè)間的棘手難題。去年的WannaCry勒索軟件攻擊將這一問題擺到了公眾面前,因?yàn)樵摾账鬈浖且蕾嚸绹?guó)國(guó)家安全局(NSA)泄露的Windows漏洞利用代碼打造的。
面對(duì)WannaCry的可怕后果,微軟總裁 Brad Smith 抨擊美國(guó)間諜機(jī)構(gòu)“囤積”漏洞危害消費(fèi)者的行為,呼吁制定新的規(guī)則迫使政府向廠商報(bào)告漏洞。1個(gè)月后,使用同一NSA漏洞利用代碼的NotPetya勒索軟件爆發(fā),給歐洲和美國(guó)公司企業(yè)帶來了超過10億美元的損失。
GCHQ的公平裁決過程裁定該機(jī)構(gòu)或其下屬機(jī)構(gòu)發(fā)現(xiàn)的零日漏洞是否報(bào)告給相關(guān)方。
3層決策系統(tǒng)包括安全專家、情報(bào)機(jī)構(gòu)成員、政府機(jī)構(gòu)代表和由NCSC首席執(zhí)行官 Ciaran Martin 出任主席的公平監(jiān)管委員會(huì)。NCSC于2016年10月組建,旨在幫助英國(guó)公司企業(yè)響應(yīng)網(wǎng)絡(luò)攻擊,在公平裁決過程中起到重要作用。
被發(fā)現(xiàn)的零日漏洞提交到公平裁決技術(shù)專家組,如果專家組內(nèi)情報(bào)機(jī)構(gòu)和NCSC成員一致認(rèn)為該漏洞應(yīng)披露,該漏洞就會(huì)被報(bào)告給廠商。
如果專家組不能達(dá)成一致,問題會(huì)被提交到由政府機(jī)構(gòu)代表組成的公平裁決理事會(huì),在Martin的代理人主導(dǎo)下進(jìn)行裁決。如果理事會(huì)還不能達(dá)成一致,問題就上交給Martin親自執(zhí)掌的公平裁決監(jiān)管委員會(huì)。委員會(huì)的作用就是確保公平裁決過程按照指定的程序恰當(dāng)運(yùn)行。
GCHQ稱,所有保留的漏洞至少每12個(gè)月會(huì)審查一次。
但也有漏洞沒有經(jīng)過該公平裁決過程審議。GCHQ沒有提供任何硬性規(guī)定,但指出3種情況下會(huì)出現(xiàn)這一現(xiàn)象:
1)合作政府已確認(rèn)漏洞并與GCHQ共享了該信息;
2)產(chǎn)品已不再提供支持;
3)產(chǎn)品從設(shè)計(jì)上就是脆弱的,產(chǎn)品中存在顯而易見的脆弱配置。
NCSC技術(shù)總監(jiān)稱,認(rèn)為所有漏洞都要披露的想法非常天真,NCSC與情報(bào)機(jī)構(gòu)參與到公平裁決過程中能起到更好的國(guó)家安全保護(hù)左右。
英國(guó)的漏洞公平裁決過程每一步都偏向于披露漏洞,但披露漏洞并不能實(shí)質(zhì)上改變從根本上就不安全產(chǎn)品的安全狀況。所以,有時(shí)候漏洞發(fā)現(xiàn)會(huì)被用于與相關(guān)公司展開更戰(zhàn)略性的對(duì)話,幫助他們提升其產(chǎn)品的整體安全性。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!