為什麼有些漏洞披露靠譜,有些則不靠譜?
更多全球網路安全資訊盡在E安全官網www.easyaq.com
小編來報:歐盟的網路安全機構ENISA在深入研究了漏洞披露的問題後發布了一份報告,該報告說明了影響漏洞披露者行為的經濟因素,獎勵機制和動機,此外,還就最近披露的高危漏洞(「熔斷」,「幽靈」和「永恆之藍」)做了案例分析,並說明了整個經過。
漏洞披露中的經濟學它分析了信息安全市場的經濟因素及其與漏洞披露的關係,還探討了如何將古典經濟學概念應用於該問題(公共資源的悲劇,網路效應,外部性,不對稱信息和逆向選擇,責任傾銷,道德風險)。
ENISA執行董事Udo Helmbrecht指出:「經濟學是現代安全的關鍵驅動因素,而經濟因素往往決定了人們解決問題時採取的方法決策。該報告完美地詮釋了這一點,且為漏洞披露領域的各方行為提供了有價值的見解。」
重要見解研究人員稱:「總體而言,該研究已經產生了許多重要發現。首先,該研究表明了以CVD為主的漏洞披露形式的重要性。正如「永恆之藍」案例中所體現的,廣泛存在於軟體和硬體中的漏洞可能會給全球社會造成巨大的危害,因此有必要制定一系列流程來充分識別報告、接收,分類及緩和漏洞危害。」
其他見解將漏洞披露視為一個生態系統是非常重要的。漏洞披露的所有參與方都應認識到建立和運行互利結構的重要性,這些結構能夠實現有效和高效的CVD漏洞披露。
應向參與方提供資源,良好操作實例和自願標準。
發現者,協調方和廠商必須及時以雙方都能理解的語言實現建設性溝通。
確保識別和報告漏洞的研究人員遵守《安全港協議》並受到法律保護。
大多數組織應考慮部署CVD流程,有些組織可能想實施漏洞賞金計劃,但不要以干擾開發和測試階段的其他信息的安全為代價。
雖然CVD和漏洞賞金計劃可以識別某些類型的漏洞,但它們不太可能識別現代計算系統中存在的更大的結構性問題。因此,政府,學術指導和私人組織應繼續投資長期性的安全研究,以識別和減輕基礎漏洞帶來的危害,例如設計缺陷或協議漏洞。
該報告撰寫依據案頭研究,查閱現有文獻(學術研究、技術報告、媒體文章等)以及與漏洞披露界專家(來自學術界、漏洞賞金平台、漏洞披露計劃運營商、廠商等)的訪談完成。
※安恆信息董事長兼總裁范淵:數字經濟時代的安全融合與賦能
※微軟:已修復導致崩潰的Outlook 2010安全補丁
TAG:E安全 |