*** 应该囤积零日漏洞吗?对这个问题的回答有不同的看法。有些人认为秘密软件漏洞会影响所有用户,无论如何都应该披露漏洞。另一方面,在一些人看来,零日漏洞与国家安全有关,认为只要能给国家带来战争或情报收集的优势,就应该保密。
另一群人持第三种观点。他们知道 *** 囤积零日漏洞的优势和后果,认为零日漏洞不能黑白处理。这样做的利弊应根据现状和情况变化充分衡量,并选择是披露还是保密零日漏洞。
美国 *** 确实设置了一个过程来衡量漏洞是否应该披露,称为“漏洞权衡过程(VEP)”。美国联邦 *** 利用这一过程确定每个零日计算机安全漏洞。“待遇”:是向公众披露以改善计算机安全环境,还是加以保密留作对付 *** 假想敌的杀手锏?VEP2000年代末,由于公众对囤积零日漏洞的愤怒日益增加,这一过程最初是保密的,直到2016年电子前沿基金会(EFF)根据《信息自由法》(FOIA)申请脱密文件。2017年中,黑客团伙“影子经纪人”曝光后,白宫向公众披露VEP更新版本试图提高过程的透明度。VEP是怎么做到的?
今天的VEP过程
该过程由美国国家安全局授权(NSA) *** 安全协调官的代表和总统的共同领导,NSA作为该过程的执行秘书,总统的 *** 安全协调官是该过程的总监。其他参与者还包括来自10个 *** 机构的代表,他们组成了权衡审计委员会。
这一过程要求漏洞发现机构、执行秘书和权衡审计委员会成员进行对话。各方就内部披露的漏洞细节提出各自的权益,如“这个漏洞可能会对自己产生影响”等等。然后,漏洞报告者和权益要求者将开始新一轮的讨论,以确定是建议披露还是隐藏漏洞。权衡审计委员会最终达成共识,决定接受建议或寻求其他政策。如果达成披露决议,披露行动将在7天内开始。计算时间线,从发现漏洞到披露漏洞,整个过程需要一周到一个月的时间,这是一个相当快的 *** 过程。
VEP还需要做年报,年报至少要有漏洞公开执行摘要,并包含全年统计数据。***报告周期的截止日期是2018年9月30日,也就是说,新的年报不远了。
不足与例外
这个过程显然不是***。除了时间安排,还有很多选择不披露操作的情况,还有各机构之间的踢球,这使得 *** 更倾向于保持旧状,而不是努力实现VEP要交付的公开透明。围绕这一过程的一些实际问题如下:
1. 保密等协议
VEP披露受保密协议、谅解备忘录等法律限制,以及外国合作伙伴或私营行业合作伙伴的其他协议。这就留下了以这些协议为借口阻止披露的机会。
2. 缺乏风险评估
该行业基于各种因素对漏洞进行评分。VEP但对此类评估没有强制性要求。这种分类或评分过程的缺乏可能导致年终数据失真。VEP今年可能公开宣布披露了100个漏洞,但由于缺乏上下文,这些漏洞可能都是对私营行业没有影响的低风险威胁。
3. NSA主导
考虑到NSA实际上是***权益持有人也是最有经验的漏洞处理者,其代表被选为委员会执行秘书也就不足为奇了。这个职位被允许NSA在VEP享受过程***的权力。
4. 不披露选项
虽然公开披露是默认选项,但其他选项还包括:披露缓解信息而不是漏洞本身;美国 *** 限制使用;秘密披露给美国盟友;并间接向供应商披露。这些选项大多隐藏漏洞,忽略了披露可能的好处。
5. 缺乏透明度
此外,这一过程似乎不包括在私营行业的监管中。关于零日漏洞的争论中一直存在信任问题。那些认为更好的安全需要披露任何漏洞的人几乎不会接受内部人士的所谓“因为值得保密而不能披露”答复。商务部和国土安全部在10个组成权衡审计委员会的机构中,有些人可能认为这两个部门应该考虑私营行业的权益。但安全倡导者并不这么认为,毕竟,这些席位也是由 *** 指定的。
私营行业审计委员会是由行业代表和具有安全权限的 *** 安全专家组成的好 *** 。这些委员会成员可以在一个月或一个季度内进行审查VEP过程的结果。如果由 *** 委员会和行业专家组成的委员会作出判断“值得保密”,接受安全倡导者并不难。
【本文是51CTO专栏作者“李少鹏”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。