美國會議員提出「漏洞披露法案」 仍考慮非中立實體授權
更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全5月27日訊 白宮網路安全協調員羅伯·喬伊斯本周在波士頓舉辦的科技領袖會議上表示,特朗普政府已經在關注一項政策程序改革提議,即決定如何處理新發現的軟體零日漏洞。
該政策程序被稱為「漏洞公平裁決程序」(Vulnerability Equities Process,VEP),規定了政府官員判斷是否將漏洞披露給軟體製造商的具體方法,以提醒製造商打補丁,確保所有用戶安全,或秘密存儲並用來監視美國對手。
前政府官員表示,這一程序需要「大動刀」,國會議員於當地時間上周三提出《保護能力,打擊黑客法案》(PATCH Act)法案。
PATCH Act法案將解決哪些問題?
PATCH Act在增加VEP監督框架的透明度,並解決當前框架中的棘手問題,包括誰負責多機構審查委員會,負責制定決策以及何時披露漏洞等問題。
此外,該法案還還提供決策制定標準,並描述審查委員會(包括商務部長和國家情報總監)需權衡的考慮。
漏洞公平裁決程序的利弊
喬伊斯稱,特朗普政府官員正在與法案的支持者接洽,草案需要進一步修訂。政府官員目前正在與國會合作研究PATCH Act。但令他擔心的是,立法者在討論為非中立實體授權的問題。
喬伊斯認為,目前的程序帶來平衡效果,該程序已經「傾向於」披露。VEP監督框架如今支持「防禦」......因其了解漏洞的重要性,哪些行業在使用,以及即使沒有補丁的情況下,是否具有緩解措施?
但政府官員在確定何時需要保留漏洞的問題上,正在做「模糊」決策,因為美國政府需要漏洞提供的網路間諜能力。
目前,VEP由非情報機構官員組成的白宮委員會牽頭。自2014年4月以來,所有新的、非公開已知漏洞都提交到了直通白宮的這個程序中。
對手國家或因此受益
前官員將披露更多零日漏洞稱之為「單方面裁軍」,因為美國的對手將不會「鸚鵡學舌」。
喬伊斯還表示,值得注意的是,對手的情報機構,例如朝鮮、俄羅斯和伊朗並不具有VEP這類程序,這更容易讓美國受到傷害。權衡折中並非易事,因此,美國政府制定規則指導機構制定決策。
這些規則可能追溯到過去十年的布希政府時期。
隨著網路上泄露一系列強大的NSA黑客工具(利用Windows軟體零日漏洞),這些規則就受到新審查。儘管有VEP的相關規定,但NSA卻秘密囤積了漏洞,而目前正被網路犯罪分子和黑客大肆利用。
相關閱讀:勒索軟體不能避免:微軟叫板美國安局NSA,反對囤積漏洞,長按識別下方二維碼查看詳情。
27
E安全要聞簡訊
2017年5月
01
研究人員發現安卓設備全新惡意軟體"斗篷與匕首"
02
[視頻]用掃描儀控制惡意程序從隔離的網路中獲取數據
03
威脅情報公司:勒索軟體WannaCry幕後開發者或來自中文國家
04
FBI非法向第三方分享了其收集到的美國人數據
05
網路安全受量子計算影響還遠嗎?未來將面臨這些威脅
06
美國會議員提出「漏洞披露法案」 仍考慮非中立實體授權
07
馬民虎:《網路安全法》的意義
※網路安全受量子計算影響還遠嗎?未來將面臨這些威脅
※馬民虎:《網路安全法》的意義
※謝永江:《網路安全法》之網路運營者的責任和義務
※網路戰軍備競賽!美網路司令部2018年預算增加44億元
※高達5億流量的大規模惡意廣告活動RoughTed來襲
TAG:E安全 |
※韓國議員提出隔離法案 阻止《素媛》罪犯重返社會
※美國議員提出法案,稱科技公司應主動消除演算法偏見
※法國國會議員提出法案:對吸毒者處以定額罰金
※美國議員提出新法案,要求收緊中國留學生簽證
※美國:國會議員提出兩項法案,防止加密貨幣價格操縱
※美兩党參議員提出新移民法案 白宮已表態反對
※美眾議院通過爭議性法案 執法部門或將獲更廣泛海外數據訪問許可權
※美國政府將確定停擺!參議院未通過支出法案
※美國加州議員提出最強網路中立性法案 提倡公平開放
※外交部嚴斥美國會「親台法案」 向美方提出嚴正交涉
※新加坡《支付服務法案》通過國會審議,將被正式立法
※美參議院將審議大規模開支法案 料將遭遇特朗普政府反對
※美國國會議員提出兩項針對學術間諜活動的法案
※宋國友:中國可考慮設立阻斷法案
※美國眾議院通過結束政府關門法案
※泰國通過備受爭議的網路安全法案 被指是為實現政府監管
※美國參議院的國防政策法案中倖存的是什麼
※美《國防授權法案》網路修正案:考慮取消與中、俄合作的撥款
※中方稱將全面評估美國外資審查法案 密切跟蹤對中企影響
※美參議院通過法案 允許政府摧毀個體無人機