让安全研究人员左右为难的问题:漏洞共享还是不共享?
作者: 日期:2017年11月10日 阅:4,932

终端用户群体只能寄希望于安全研究员的负责任行动

 

今年的WannaCry勒索软件攻击,以及Equifax大规模数据泄露事件,凸显出威胁信息共享、安全研究协作和开源安全工具开发的重要性。但这些工作的开展,往往伴随着信息被滥用的固有风险。安全人员用以防御威胁的信息,可能也传到了恶意攻击者手中。

Gartner的调查显示,到2020年,安全及IT人员将能获悉99%的可利用漏洞。Equifax数据泄露事件的情况正是如此,攻击者利用的,就是流行企业平台 Apache Struts Web应用软件中的一个已知漏洞。Apache软件基金会早在3月份就发布了补丁,Equifax拥有2个多月的时间采取预防性措施,本可以最小化数据暴露风险的。

于是,这种情况下,安全研究人员可以采取什么措施,来缓解自己发现的漏洞及利用代码不被滥用呢?

安全研究人员的工作经常涉及入侵防御机制,计算机、网络或软件系统都是他们的目标。他们通过入侵,来验证某种给定攻击是否可行,并找出修复该漏洞的方法,以防漏洞被坏人利用。但是,公开研究发现和相关漏洞利用程序,也给研究人员带来了风险,他们的代码有可能被网络罪犯用于创建新的漏洞利用程序,或者集成进恶意工具中。

为最小化研究发现被滥用的风险,安全研究社区应用了2种主要的披露模式:

1. 完全披露模式

安全研究人员尽早公开新发现漏洞的细节,每个人都能获取到该信息,没有任何限制——通常是在在线论坛或网站上发布(包括用于概念验证的漏洞利用程序)。完全披露模式的支持者认为,未知漏洞的潜在受害者,应与可能利用该漏洞的攻击者一样,获取到同样的信息。

2. 负责任披露

这种模式受到大多数独立软件开发商(ISV)、计算机应急响应小组(CERT)和SANS研究所的支持。该模式采取了更为协作的方式,安全研究员将漏洞咨询报告提交给厂商,其中用截屏或代码段、相关支持证据等,描述出漏洞位置,还可能含有可重现的概念验证攻击以辅助测试解决方案。

在用尽可能安全的途径(比如加密邮件)向厂商提交了报告后,研究人员通常会给厂商留有比较合理的漏洞调查与修复时间。一旦补丁可用,或者过了披露时间线,研究人员就会公布自己所发现漏洞的分析报告。

这种模式下,CERT建议不要披露漏洞利用程序本身,因为能从利用程序获益的人数,远不及该利用程序被武器化后可能受到伤害的人数。负责任披露模式的目标,是要平衡公众知悉安全漏洞的需求与厂商做出有效响应的时间需求。尽管在“合理披露时间”上尚未达成共识,大多数安全研究人员遵从CERT建议的45天等待时间。

鉴于软件中发现的重大漏洞层出不穷,终端用户很明显只能依靠安全研究人员负责任的披露,才能限制其漏洞发现不被恶意使用的可能性。厂商漏洞奖励项目的增加,还有终端用户公司渗透测试频度的增加,也能进一步推动漏洞在公开前就被发现。

然而,发现漏洞仅仅是安全保卫战的一部分,修复漏洞才是更大的挑战。Gartner曾声称“企业改善安全的唯一最有效动作就是修复”,原因正在于此。

相关阅读

大多数漏洞通报前都会先在这里曝光
微软终于抓住谷歌把柄 “负责任披露”Chorme远程代码执行漏洞

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章