美國發布「CERT漏洞協同披露指南」

E安全8月18日訊 美國卡內基梅隆大學軟體工程研究所（ Software Engineering Institute，簡稱SEI）是美國國防部資助的研發中心，由卡內基梅隆大學運營。SEI提供技術推進軟體工程實踐，與組織機構協作顯著改進軟體工程能力。

軟體工程研究所CERT網路安全部是全球領先信任機構，致力於改進計算機系統、網路以及美國網路安全行業資產的安全與彈性。

當地時間8月15日，美國卡內基梅隆大學軟體工程研究所CERT部門發布 「CERT漏洞協同披露指南」（The CERT Guide to Coordinated Vulnerability Disclosure）。

「漏洞協同披露」（Coordinated Vulnerability Disclosure，簡稱CVD）是緩解信息安全漏洞，削弱對手優勢的過程。CVD是一個過程，而非事件。發布補丁或文件是CVD過程中的重要事件。

CVD參與對象可能會反覆提出以下問題：

• 得知產品存在漏洞，應採取哪些行動予以響應？其它哪些人需要了解事件？這些人需了解事件的最佳時機？

只有當這些問題迎刃而解，無人存在疑問時，CVD過程才算結束。

CVD與漏洞管理（Vulnerability Management，簡稱VM）不同，不可混為一談。VM包含CVD的下游過程，一旦漏洞被披露，部署人員必須採取行動予以響應。

CVD原則如下：

? 降低損害——發布漏洞信息降低潛在損害；使用漏洞緩解技術；減少陷入風險的時間；發布優質補丁；自動識別易受攻擊的數據，自動部署補丁。

? 假設會有人報告漏洞——假設有人已花費時間和精力聯繫廠商或協調者報告問題。

? 避免措手不及——措手不及會增加漏洞披露帶來的消極後果，應盡量避免。

? 激勵——獎勵通常比懲罰更有效。由於激勵會加強安全研究人員與組織機構之間的未來合作關係，因此激勵較為重要。

? 道德考量——CVD過程可採用技術和媒體專業團體的大量道德準則。

? 改進過程——CVD過程參與者應吸取經驗，並響應改進過程。CVD還能為組織機構的軟體開發生命周期（SDL）提供重要反饋。

? CVD苛刻——漏洞披露是多面問題，似乎沒有「正確」答案，只有「更好」或「更糟」的解決方案。

CVD過程包含的角色

CVD以發現漏洞開始，部署補丁或緩解措施結束。因此，CVD過程涉及不同的角色和利益相關者

? 發現者：發現漏洞的個人或組織機構。

? 報告者：向廠商報告漏洞的個人或組織機構。

? 廠商：生產或維護漏洞產品的個人或組織機構。

? 部署者：必須部署補丁或採取其它補救措施的個人或組織機構。

? 協調者：促進協同響應過程的個人或組織機構。

CVD階段

CVD過程可廣泛定義為階段。雖然這些階段有時可能會出現次序顛倒的情況，甚至會在處理單個漏洞案例中重複出現（例如，接收者可能需要獨立驗證報告），但常見順序如下：

? 發現：發現產品中存在的漏洞。

? 報告：產品廠商或第三方協調員收到漏洞報告。

? 驗證並歸類：報告接收人驗證報告，確保準確度，以採取進一步行動之前確定是否優先處理。

? 修復：開發修復計劃（軟體補丁，也可能是其它機制）並測試。

? 公眾意識：將漏洞和修復計劃披露給公眾。

? 部署：將修復計劃應用到已部署的系統中。

CVD過程差異

CVD過程會因參與者、時間推移和環境不同而存在差異：

? 選擇披露政策：由於業務需求各異，披露政策可能需要適用於不同的組織機構、行業、產品，例如補丁分發或安全風險。

? 多方協調：一個發現者與一個廠商之間的協調相對直接，但有些案例涉及多名發現者、或複雜的供應鏈通常需要更多關注。

? 協同與同步：不同的組織機構的工作步調不同，這會給同步漏洞信息和補丁增加難度。

? 協同範圍：CVD參與者必須決定協同過程範圍，例如最好將關鍵基礎設施漏洞從頭到尾協同披露給系統部署者，然而，對於移動應用程序的漏洞，也許通知了開發人員自動更新過程就足夠了。

CERT協調中心資深漏洞分析師艾倫豪斯霍爾德表示，移動設備的數量已經超出傳統計算機的數量，而物聯網將在未來幾年趕超移動設備數量。隨著漏洞發現漏洞和技術為了滿足現實不斷發展，因此協調和披露的工具與過程也必須滿足現實要求。由於硬體系統可能會主宰未來的互聯網，因此必須重新評估許多有關披露時間、協調渠道、開發周期、掃描、打補丁等漏洞處理過程的設想。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！