美國發布「CERT漏洞協同披露指南」
E安全8月18日訊 美國卡內基梅隆大學軟體工程研究所( Software Engineering Institute,簡稱SEI)是美國國防部資助的研發中心,由卡內基梅隆大學運營。SEI提供技術推進軟體工程實踐,與組織機構協作顯著改進軟體工程能力。
軟體工程研究所CERT網路安全部是全球領先信任機構,致力於改進計算機系統、網路以及美國網路安全行業資產的安全與彈性。
當地時間8月15日,美國卡內基梅隆大學軟體工程研究所CERT部門發布 「CERT漏洞協同披露指南」(The CERT Guide to Coordinated Vulnerability Disclosure)。
「漏洞協同披露」(Coordinated Vulnerability Disclosure,簡稱CVD)是緩解信息安全漏洞,削弱對手優勢的過程。CVD是一個過程,而非事件。發布補丁或文件是CVD過程中的重要事件。
CVD參與對象可能會反覆提出以下問題:
得知產品存在漏洞,應採取哪些行動予以響應?其它哪些人需要了解事件?這些人需了解事件的最佳時機?
只有當這些問題迎刃而解,無人存在疑問時,CVD過程才算結束。
CVD與漏洞管理(Vulnerability Management,簡稱VM)不同,不可混為一談。VM包含CVD的下游過程,一旦漏洞被披露,部署人員必須採取行動予以響應。
CVD原則如下:
? 降低損害——發布漏洞信息降低潛在損害;使用漏洞緩解技術;減少陷入風險的時間;發布優質補丁;自動識別易受攻擊的數據,自動部署補丁。
? 假設會有人報告漏洞——假設有人已花費時間和精力聯繫廠商或協調者報告問題。
? 避免措手不及——措手不及會增加漏洞披露帶來的消極後果,應盡量避免。
? 激勵——獎勵通常比懲罰更有效。由於激勵會加強安全研究人員與組織機構之間的未來合作關係,因此激勵較為重要。
? 道德考量——CVD過程可採用技術和媒體專業團體的大量道德準則。
? 改進過程——CVD過程參與者應吸取經驗,並響應改進過程。CVD還能為組織機構的軟體開發生命周期(SDL)提供重要反饋。
? CVD苛刻——漏洞披露是多面問題,似乎沒有「正確」答案,只有「更好」或「更糟」的解決方案。
CVD過程包含的角色
CVD以發現漏洞開始,部署補丁或緩解措施結束。因此,CVD過程涉及不同的角色和利益相關者
? 發現者:發現漏洞的個人或組織機構。
? 報告者:向廠商報告漏洞的個人或組織機構。
? 廠商:生產或維護漏洞產品的個人或組織機構。
? 部署者:必須部署補丁或採取其它補救措施的個人或組織機構。
? 協調者:促進協同響應過程的個人或組織機構。
CVD階段
CVD過程可廣泛定義為階段。雖然這些階段有時可能會出現次序顛倒的情況,甚至會在處理單個漏洞案例中重複出現(例如,接收者可能需要獨立驗證報告),但常見順序如下:
? 發現:發現產品中存在的漏洞。
? 報告:產品廠商或第三方協調員收到漏洞報告。
? 驗證並歸類:報告接收人驗證報告,確保準確度,以採取進一步行動之前確定是否優先處理。
? 修復:開發修復計劃(軟體補丁,也可能是其它機制)並測試。
? 公眾意識:將漏洞和修復計劃披露給公眾。
? 部署:將修復計劃應用到已部署的系統中。
CVD過程差異
CVD過程會因參與者、時間推移和環境不同而存在差異:
? 選擇披露政策:由於業務需求各異,披露政策可能需要適用於不同的組織機構、行業、產品,例如補丁分發或安全風險。
? 多方協調:一個發現者與一個廠商之間的協調相對直接,但有些案例涉及多名發現者、或複雜的供應鏈通常需要更多關注。
? 協同與同步:不同的組織機構的工作步調不同,這會給同步漏洞信息和補丁增加難度。
? 協同範圍:CVD參與者必須決定協同過程範圍,例如最好將關鍵基礎設施漏洞從頭到尾協同披露給系統部署者,然而,對於移動應用程序的漏洞,也許通知了開發人員自動更新過程就足夠了。
CERT協調中心資深漏洞分析師艾倫豪斯霍爾德表示,移動設備的數量已經超出傳統計算機的數量,而物聯網將在未來幾年趕超移動設備數量。隨著漏洞發現漏洞和技術為了滿足現實不斷發展,因此協調和披露的工具與過程也必須滿足現實要求。由於硬體系統可能會主宰未來的互聯網,因此必須重新評估許多有關披露時間、協調渠道、開發周期、掃描、打補丁等漏洞處理過程的設想。
※Gartner:2018年全球信息安全支出達到930億美元
※NIST發布更新版網路與隱私草案指南
※預警!危險勒索軟體捲土重來,請提前做好預防措施
※美國國務院設立「網路技術安全處」
※全球4000多家基礎設施企業被攻擊,黑客竟是獨行俠
TAG:E安全 |
※OKEx發布針對USDT「假充值」漏洞的安全排查公告
※新JNEC.a勒索軟體曝光,利用WinRAR ACE漏洞傳播
※《自然》子刊:CRISPR再曝重大漏洞!遺傳學大牛發現CRISPR/Cas9會在作用靶點遠處導致大規模DNA刪除|科學大發現
※LG UPLUS CEO河勛懷:沒有證據顯示華為5G設備存在安全漏洞
※微軟致謝清華大學 國內安全人員首次發現CPU漏洞
※英特爾CPU新漏洞「預兆」(L1TF)|VORACLE攻擊可解密通過VPN發送的HTTP流量
※德國間諜機構被起訴!被指監控全球互聯網交換數據;ICS-CERT公告:美國必康美德醫療設備曝多個安全漏洞
※Intel披露L1TF安全漏洞 公布防禦措施
※Bytom入駐DVP,發布安全漏洞賞金計劃
※Intel率先告知中國客戶CPU安全漏洞:華爾街意外
※谷歌公開披露Edge瀏覽器一安全漏洞
※英特爾CPU新漏洞「預兆」(L1TF)|VORACLE攻擊可解密VPN流量
※微軟英特爾聯合公布CPU漏洞
※Debian 發布安全更新修復近期披露的英特爾 MDS 安全漏洞
※Intel VIA CPU發現新漏洞 安全市場應採用自主CPU
※FBI發警告:有黑客計劃利用漏洞在ATM大量取鈔
※荷蘭情報部門聲稱掌握俄黑客組織介入美國總統大選的重要證據;因 CPU 漏洞 Canonical 宣布推遲發布 Ubu
※甲骨文MICROS系統再曝漏洞 POS終端網路安全誰買單?
※WinRAR ACE漏洞被用來安裝後門
※NVIDIA晶元存漏洞 任天堂Switch破解漏洞即將遭披露