白宫发布漏洞披露政策 十大部门形成审查委员会

作者:星期五, 十一月 17, 20170
分享:

11月15日,白宫发布了其《漏洞平衡策略》(VEP),描述了白宫与其他10个机构,包括CIA、NSA和DHS,做出漏洞公告决策的过程。该策略解释了为什么有些漏洞要保密,而有些漏洞一被发现就会即刻发出警报。

这些决策特别针对零日漏洞,也就是尚未打上补丁的未知安全漏洞。政府机构常会找出这些漏洞,有时候就将之转化为自己的黑客武器了。在基于NSA被盗黑客工具的WannaCry勒索软件肆虐之后,微软首席顾问抨击政府未将漏洞信息通告可以修复漏洞的公司。

白宫网络安全协调员罗博·乔伊斯在15号的博客文章中称,提升此过程的透明度是很重要的,但他也维护政府将某些漏洞保密的决策。

乔伊斯说:“尽管我不认为将所有漏洞留做网络行动所需是负责任的做法,但我们看到有很多国家都这么做。”

决策过程始于找到漏洞并提交到VEP审查委员会,该委员会包含下列机构:

  • 国防部(包含NSA)
  • 中央情报局(CIA)
  • 司法部(包含FBI)
  • 国务院国土安全部
  • 国家情报总监办公室
  • 财务部
  • 能源部
  • 商务部
  • 管理与预算办公室

委员会就4个关键点进行讨论,首先就是该新发现漏洞的威胁程度。主要看受影响产品的波及面、漏洞利用的难度、漏洞可导致的破坏,以及漏洞修复难度。

第二个考虑,是政府可以怎么利用该漏洞。第三和第四个讨论点,则是考虑一旦政府早已获悉漏洞的事实被揭露,美国将面对来自公司企业和其他国家的什么风险。

该审查过程应在5天内进行完毕。如果已有利用该漏洞的攻击发生,则审查过程会加快。讨论过后,委员会将就是否向受影响公司公开漏洞达成共识。

如果审查委员会决定公开漏洞,就会在7个工作日内通告受影响公司企业。如果委员会选择保密漏洞,该漏洞将会每年被审查一次,直到委员会改变主意,或者该零日漏洞被公开。

大多数情况下,负责任地披露新发现的漏洞,明显是国家会选择的做法。

漏洞平衡策略:

https://www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF

相关阅读

IT安全漏洞报告:美国被中国甩在身后
大多数漏洞通报前都会先在这里曝光
微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞

 

分享:

相关文章

写一条评论

 

 

0条评论