新闻快讯
< >

安全研究人员发现了漏洞到底该不该分享出来?

E安全11月6日文 今年的WannaCry勒索软件攻击以及Equifax公司经历的大规模数据泄露事件再一次给我们敲响警钟,同时也强调了威胁信息共享、安全研究协作以及开源安全工具发展的重要意义。然而,在安全专业人员之间传递威胁信息以指导防御工作本身也会带来一定的固有风险,即此类资讯很可能被恶意攻击者用于实施入侵活动。

1509882687455001936.jpg

根据分析企业Gartner公司发布的《2017年威胁前景状态报告》,到2020年,99%的安全漏洞利用行为都将被安全及IT专家们所知晓。事实上,Equifax公司经历的数据泄露事件即是如此——攻击者们所利用安全漏洞存在于Apache Struts 这一被各类企业所广泛采用的Web应用软件当中。Apache软件基金会已经于今年3月发布了相关修复补丁,并在超过2个月的时间内发布通告以提醒用户采取预防措施,从而尽量降低相关风险。

漏洞披露的两种方式

那么,安全研究人员可以采取哪些步骤来降低其发现及概念验证代码遭到滥用的可能性?

作为日常工作的重要组成部分,安全研究人员经常会破解计算机、网络或者软件系统的防御机制,从而证明特定攻击手段具备可行性;此外,他们还需要在恶意攻击者实际利用漏洞之前找到响应的补救方法。但在发布研究发现及相关利用方式的过程中,研究人员们也面临着其代码成果被网络犯罪分子用于创建新型漏洞或者恶意工具的风险。

1.jpg

为了尽可能降低研究成果遭到滥用的风险,安全研究业界一直采取以下两种主要披露模式:

  • 一种是完全披露模式。安全研究人员会尽早公布所发现的漏洞详细信息,并以不加任何限制的方式将信息公开传播,例如公开发布(包括用于概念验证的漏洞利用方法)于在线论坛或者网站上。完全披露方法的支持者们认为,以往未知漏洞的潜在受害者们应当与利用这些漏洞的攻击者们掌握相同的威胁信息。

  • 另一种方案则为负责任披露。大多数ISV社区、CERT(计算机安全应急响应组)以及SANS研究机构也较支持这种方法。其采取协调立场,由安全研究人员向供应商提交漏洞咨询报告,此报告采用屏幕截图或代码片段以证明漏洞位置,同时提供证据以及可重现的概念验证成果以协助进行测试。在通过最安全的途径(例如加密电子邮件)将报告提交给供应商之后,研究人员通常会为供应商设定合理的时间周期以进行漏洞调查与修复。一旦补丁发布或者披露时限已到,研究人员即可将其发现及分析结果公之于众。

在这样的背景下,CERT给出的建议是不要披露漏洞本身,因为能够从漏洞信息当中获取收益的群体可能会利用这些资讯对其他人群造成危害。

负责任披露方法的目标则在于平衡公众需求,将安全漏洞通知给厂商并为其提供充足的时间以作出有效响应。虽然目前还不存在所谓“合理披露时间”之类的共识,但大多数安全研究人员都遵循着CERT提供 的45天等待周期原则。

鉴于软件领域每周甚至每天都会曝出大量严重安全漏洞,因此最终用户社区的命运明显取决于安全研究人员是否愿意为自己的行为负责——只有负责的安全人员才能确保其发现被更多地用于限制恶意活动。

供应商社区越来越多地组织bug赏金项目,而最终用户机构则进行更多渗透测试,从而协助在安全漏洞被公开之前将其发现。

然而,发现漏洞只是整个流程的一半,将其解决又是另一项重大挑战。正因为如此,Gartner公司才强调称“改善安全性水平的最具效力的企业行为,正是切实有效的补丁安装。”

相关阅读:

中国网络安全漏洞披露效率远超美国
美司法部发布《在线系统漏洞披露计划框架》,帮助企业建立漏洞披露计划
美国会议员提出“漏洞披露法案”  仍考虑非中立实体授权
美国政府本周发布第二份漏洞披露政策

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。