报还是不报?负责任的披露是安全和情报的关键
作者:星期四, 二月 9, 20170

不坚持负责任的披露,就有可能放大某些漏洞或事件的威胁。

maleprofessorshoutingtho_145336-630x330

作为了解深网与暗网情报的公司,每天都会看到很多东西,从被盗数据和内部人聘用,到新兴网络与物理威胁,应有尽有。这些观察所得也意味着,威胁情报公司往往会比企业更早知道他们的安全漏洞、现有威胁和关键事件。

虽然此类场景在威胁情报厂商之间越来越普遍,整个行业还是得标准化后续过程并实行一些行动纲领。比如说,如果你发现某公司对自己感染了危险恶意软件毫不知情,你该怎么办?你发觉某公司可能在不远的将来发现自己遭受了大规模数据泄露,你该怎么办?或者,你发现某公司有个零日漏洞可能危及它整个终端用户基础,你报是不报?

虽然通过媒体过其他营销渠道,立即向公众披露此类发现挺具诱惑力的(也就是所谓的完全披露),但这么做也有可能激化攻击受害者及其相关网络的情况。后果会很严重。这也是为什么威胁情报厂商是时候规范自身,认清负责任披露重要性的原因了。

慎重透露安全问题

首先,不坚持负责任的披露,就有可能放大某些漏洞或事件的威胁。如果不给受影响公司足够的时间处理,就公开曝光零日漏洞,你同时也将漏洞泄露给了网络罪犯,使他们能在补丁放出前利用漏洞。鉴于补丁不总能即时发布,关于漏洞的信息不露给潜在滥用者知道,就显得更加重要了。

即使某些情况下,漏洞信息已落入坏人之手,公开该信息依然是有害的。比如说,如果你看到精英暗网论坛上,一小撮网络罪犯正讨论利用某流行手机银行App的漏洞。假设利用该漏洞可绕过该App的反欺诈措施,令其整个终端用户基础都极易被诈骗。虽然该漏洞的知识仅限于一小撮精英黑客知晓,公开披露漏洞也会大幅增加能够利用该漏洞牟利的人数,让终端用户群更易被骗。这种行为,在该漏洞影响公司关键系统、敏感信息和更广泛的利益相关者网络时,更具破坏性。

让受害者蒙羞的后果

除了不遵从负责任披露的安全暗示,此类实践还方便了对受害者进行羞辱——大量负面消息广泛传播。首先,这可谓受影响公司的公关噩梦。大量负面报道和无数问询,意味着公司要花费宝贵的时间和资源,来驱散恐惧,回应媒体、客户、股东、利益相关者和其他人士——大多没有明确的答案。很多案例中,不良公关还会扩大威胁、事件或漏洞的影响,令大众过度反应,涟漪效应更加扩大,耗去公司更多时间和资源。

对披露公司敏感信息导致非必要公众抗议和受害者羞辱的厂商而言,后果可能是惨烈的。无论情况是否就是这样,参与到此类实践中的厂商,看起来就是将伤害另一品牌声誉,作为自己获得媒体报道、赚取业界辨识度、建立自己声名的途径。威胁情报厂商通常压力山大,常面临第一个披露“突发新闻”和发现重大信息的竞争。尽管公开披露某些漏洞及受影响公司或许有所收益,但必须认识到:潜在负面后果可能既没有生产力,又于业界谋求的安全文化无益。

情报披露

尽管安全研究人员一直都是负责任披露的主要支持者,但是通行实践和协议才刚刚开始获得情报厂商的重视。在Flashpoint,虽然根据漏洞或事件的严重性和本质,处理方法会有不同,立即通知受影响企业一直是该厂商的首要之务。他们与企业合作,确保漏洞被修复,威胁被缓解;而且,很多案例中,可以在不公开受影响企业的情况下就做到这一点。

很多时候,负责任披露意味着公布围绕事件的关键事实——也就是其他人保护自身需要知道的东西,而又不透露所有非必要细节。比如说,可以披露美国西海岸某大型医疗保健企业遭勒索软件攻击,公布该威胁的攻击指标,以及其他公司可以做什么来防止陷入类似灾难。

有些情况下,安全团队感觉捏着信息会大幅增加他人的风险,但不会恶化威胁时,公开披露是可以的。但是,要以一种有所助益的方式披露,回答所有问题,准确解释威胁,列出受影响者可以采取的行动。这种类型的披露,通过合理知会公众的形式,最终会节省受影响公司的大量时间和资源。威胁情报厂商的职责,就是帮助客户和公众保护自己,缓解威胁,而不是将他们暴露于更危险的境地。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章