政府應(yīng)不應(yīng)該囤積零日漏洞?對這個問題的回答見仁見智。有人覺得將軟件漏洞秘而不宣會影響所有用戶,無論如何都應(yīng)當披露漏洞����。另一方面�,零日漏洞在一些人眼中與國家安全掛鉤�����,認為只要能給本國帶來戰(zhàn)爭或情報收集上的優(yōu)勢���,就應(yīng)該保密��。
創(chuàng)新互聯(lián)主要從事成都網(wǎng)站制作����、成都網(wǎng)站設(shè)計����、網(wǎng)頁設(shè)計����、企業(yè)做網(wǎng)站�����、公司建網(wǎng)站等業(yè)務(wù)��。立足成都服務(wù)城關(guān),10年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠�、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575
還有一群人持第三種觀點�����,他們清楚政府囤積零日漏洞的優(yōu)勢與后果����,認為對待零日漏洞不能非黑即白,應(yīng)根據(jù)當前狀況與情勢變化充分衡量這么做的利弊����,酌情選擇是披露還是保密零日漏洞。
美國政府確實設(shè)置有衡量漏洞該不該披露的一個過程�,名為“漏洞權(quán)衡過程(VEP)”。美國聯(lián)邦政府采用該過程確定每個零日計算機安全漏洞的“待遇”:是向公眾披露以改善計算機安全環(huán)境�����,還是加以保密留作對付政府假想敵的殺手锏?VEP在2000年代末期被制定出來,起因是公眾對零日漏洞囤積行為的憤怒日益高漲�����。該過程最初呈保密狀態(tài)�����,直到2016年電子前沿基金會(EFF)根據(jù)《信息自由法案》(FOIA)申請到了一份經(jīng)脫密處理的文檔��。2017年年中�,黑客團伙“影子經(jīng)紀人”的曝光之后,白宮向公眾披露了VEP的更新版本�,試圖提升該過程的透明度。那么���,VEP到底是怎么進行的呢?
今天的VEP過程
該過程經(jīng)白宮授權(quán)���,由美國國家安全局(NSA)的代表和總統(tǒng)的網(wǎng)絡(luò)安全協(xié)調(diào)官共同領(lǐng)導(dǎo),NSA代表作為該過程的執(zhí)行秘書聽從國防部的指導(dǎo)��,總統(tǒng)的網(wǎng)絡(luò)安全協(xié)調(diào)官則是該過程的總監(jiān)�����。其他參與者還包括來自10個政府機構(gòu)的代表,他們組成了權(quán)衡審核委員會�����。
該過程要求漏洞發(fā)現(xiàn)機構(gòu)���、執(zhí)行秘書及權(quán)衡審核委員會成員之間展開對話。各方就內(nèi)部披露的漏洞細節(jié)提出各自權(quán)益����,比如“該漏洞可能對自身產(chǎn)生的影響”等等。然后漏洞報告者和權(quán)益要求者之間將開啟新一輪討論���,確定是建議披露還是建議隱瞞該漏洞�。權(quán)衡審核委員會最終達成共識����,決定接受該建議還是另尋他策。如果達成披露決議����,披露動作會在7天內(nèi)開始。算算時間線的話,從發(fā)現(xiàn)漏洞到披露漏洞�,整個過程耗時在一星期到一個月不等,已經(jīng)是相當快速的政府流程了���。
VEP還要求做年報����,年報至少要有漏洞公開的執(zhí)行摘要�����,并包含有該過程整年的統(tǒng)計數(shù)據(jù)���。***個報告周期截止日期為2018年9月30日�,也就是說���,新的年報也不遠了�。
不足與例外
該過程顯然不***���。除了時間安排��,選擇不披露操作的情形也很多����,還有各機構(gòu)間的踢皮球,所有這些都讓政府更傾向于維持舊狀��,而不是努力達成VEP想要交付的公開透明�����。圍繞該過程的一些現(xiàn)實問題如下:
1. 保密及其他協(xié)議
VEP在披露時會受到法律限制�����,比如保密協(xié)議���、諒解備忘錄和涉外國合作伙伴或私營產(chǎn)業(yè)合作伙伴的其他協(xié)議。這就留下了以這些協(xié)議為借口阻止披露的機會�。
2. 缺乏風(fēng)險評估
業(yè)界基于多種因素為漏洞打出評分。VEP卻沒有強制要求此類評估�����。這種分類或評分過程的缺乏可能導(dǎo)致年終數(shù)據(jù)失真�����。比如說,VEP可能公開宣稱今年披露了100個漏洞��,但由于缺乏漏洞上下文�,這些漏洞有可能全都是對私營產(chǎn)業(yè)毫無影響的低風(fēng)險威脅。
3. NSA主導(dǎo)
考慮到NSA實際上是***的權(quán)益持有者�����,也是最有經(jīng)驗的漏洞處理者��,其代表被選為委員會執(zhí)行秘書毫不意外��。該職位讓NSA在VEP過程中享有了***的權(quán)力�。
4. 不披露選項
雖然公開披露是默認選項,但其他選項還包括:披露緩解信息而非漏洞本身;美國政府限制使用;秘密披露給美國盟友;以及間接披露給供應(yīng)商����。這些選項大多將漏洞瞞下,無視披露可能帶來的好處��。
5. 缺乏透明性
除此之外�,該過程似乎沒有納入來自私營產(chǎn)業(yè)的監(jiān)督。圍繞零日漏洞的爭論中一直存在信任問題��。認為更好的安全需要任何漏洞都應(yīng)披露的人��,幾乎不會接受內(nèi)部人士所謂“因為值得保密而不能披露”的回復(fù)。組成權(quán)衡審核委員會的10個機構(gòu)中既有商務(wù)部也有國土安全部�,有人可能覺得這兩個部門應(yīng)該會將私營產(chǎn)業(yè)權(quán)益考慮進去。但安全倡導(dǎo)者不這么想�,畢竟這些席位也都是政府指定的。
由產(chǎn)業(yè)界代表和具安全權(quán)限的網(wǎng)絡(luò)安全專家組成私營產(chǎn)業(yè)審核委員會是個不錯的辦法�����。這些委員會成員可以在一個月或一個季度的期限內(nèi)審核VEP過程的結(jié)果��。如果政府的委員會和業(yè)界專家組成的委員會都判定“值得保密”����,安全倡導(dǎo)者接受起來也就沒那么難了����。
本文名稱:美國囤積零日漏洞的標準是什么
文章URL:
http://uogjgqi.cn/article/dhigjsc.html
