11月15日,白宫发布了其《漏洞平衡策略》(VEP),描述了白宫与其他10个机构,包括CIA、NSA和DHS,做出漏洞公告决策的过程。该策略解释了为什么有些漏洞要保密,而有些漏洞一被发现就会即刻发出警报。
这些决策特别针对零日漏洞,也就是尚未打上补丁的未知安全漏洞。政府机构常会找出这些漏洞,有时候就将之转化为自己的黑客武器了。在基于NSA被盗黑客工具的WannaCry勒索软件肆虐之后,微软首席顾问抨击政府未将漏洞信息通告可以修复漏洞的公司。
白宫网络安全协调员罗博·乔伊斯在15号的博客文章中称,提升此过程的透明度是很重要的,但他也维护政府将某些漏洞保密的决策。
乔伊斯说:“尽管我不认为将所有漏洞留做网络行动所需是负责任的做法,但我们看到有很多国家都这么做。”
决策过程始于找到漏洞并提交到VEP审查委员会,该委员会包含下列机构:
- 国防部(包含NSA)
- 中央情报局(CIA)
- 司法部(包含FBI)
- 国务院国土安全部
- 国家情报总监办公室
- 财务部
- 能源部
- 商务部
- 管理与预算办公室
委员会就4个关键点进行讨论,首先就是该新发现漏洞的威胁程度。主要看受影响产品的波及面、漏洞利用的难度、漏洞可导致的破坏,以及漏洞修复难度。
第二个考虑,是政府可以怎么利用该漏洞。第三和第四个讨论点,则是考虑一旦政府早已获悉漏洞的事实被揭露,美国将面对来自公司企业和其他国家的什么风险。
该审查过程应在5天内进行完毕。如果已有利用该漏洞的攻击发生,则审查过程会加快。讨论过后,委员会将就是否向受影响公司公开漏洞达成共识。
如果审查委员会决定公开漏洞,就会在7个工作日内通告受影响公司企业。如果委员会选择保密漏洞,那该漏洞将会每年被审查一次,直到委员会改变主意,或者该零日漏洞被公开。
大多数情况下,负责任地披露新发现的漏洞,明显是国家会选择的做法。
漏洞平衡策略:
相关阅读
IT安全漏洞报告:美国被中国甩在身后
大多数漏洞通报前都会先在这里曝光
微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞