不坚持负责任的披露，就有可能放大某些漏洞或事件的威胁。

 

作为了解深网与暗网情报的公司，每天都会看到很多东西，从被盗数据和内部人聘用，到新兴网络与物理威胁，应有尽有。这些观察所得也意味着，威胁情报公司往往会比企业更早知道他们的安全漏洞、现有威胁和关键事件。

虽然此类场景在威胁情报厂商之间越来越普遍，整个行业还是得标准化后续过程并实行一些行动纲领。比如说，如果你发现某公司对自己感染了危险恶意软件毫不知情，你该怎么办？你发觉某公司可能在不远的将来发现自己遭受了大规模数据泄露，你该怎么办？或者，你发现某公司有个零日漏洞可能危及它整个终端用户基础，你报是不报？

虽然通过媒体过其他营销渠道，立即向公众披露此类发现挺具诱惑力的(也就是所谓的完全披露)，但这么做也有可能激化攻击受害者及其相关网络的情况。后果会很严重。这也是为什么威胁情报厂商是时候规范自身，认清负责任披露重要性的原因了。

　　慎重透露安全问题

首先，不坚持负责任的披露，就有可能放大某些漏洞或事件的威胁。如果不给受影响公司足够的时间处理，就公开曝光零日漏洞，你同时也将漏洞泄露给了网络罪犯，使他们能在补丁放出前利用漏洞。鉴于补丁不总能即时发布，关于漏洞的信息不露给潜在滥用者知道，就显得更加重要了。

即使某些情况下，漏洞信息已落入坏人之手，公开该信息依然是有害的。比如说，如果你看到精英暗网论坛上，一小撮网络罪犯正讨论利用某流行手机银行App的漏洞。假设利用该漏洞可绕过该App的反欺诈措施，令其整个终端用户基础都极易被诈骗。虽然该漏洞的知识仅限于一小撮精英黑客知晓，公开披露漏洞也会大幅增加能够利用该漏洞牟利的人数，让终端用户群更易被骗。这种行为，在该漏洞影响公司关键系统、敏感信息和更广泛的利益相关者网络时，更具破坏性。

　　让受害者蒙羞的后果

除了不遵从负责任披露的安全暗示，此类实践还方便了对受害者进行羞辱——大量负面消息广泛传播。首先，这可谓受影响公司的公关噩梦。大量负面报道和无数问询，意味着公司要花费宝贵的时间和资源，来驱散恐惧，回应媒体、客户、股东、利益相关者和其他人士——大多没有明确的答案。很多案例中，不良公关还会扩大威胁、事件或漏洞的影响，令大众过度反应，涟漪效应更加扩大，耗去公司更多时间和资源。

对披露公司敏感信息导致非必要公众抗议和受害者羞辱的厂商而言，后果可能是惨烈的。无论情况是否就是这样，参与到此类实践中的厂商，看起来就是将伤害另一品牌声誉，作为自己获得媒体报道、赚取业界辨识度、建立自己声名的途径。威胁情报厂商通常压力山大，常面临第一个披露“突发新闻”和发现重大信息的竞争。尽管公开披露某些漏洞及受影响公司或许有所收益，但必须认识到：潜在负面后果可能既没有生产力，又于业界谋求的安全文化无益。

　　情报披露

尽管安全研究人员一直都是负责任披露的主要支持者，但是通行实践和协议才刚刚开始获得情报厂商的重视。在Flashpoint，虽然根据漏洞或事件的严重性和本质，处理方法会有不同，立即通知受影响企业一直是该厂商的首要之务。他们与企业合作，确保漏洞被修复，威胁被缓解;而且，很多案例中，可以在不公开受影响企业的情况下就做到这一点。

很多时候，负责任披露意味着公布围绕事件的关键事实——也就是其他人保护自身需要知道的东西，而又不透露所有非必要细节。比如说，可以披露美国西海岸某大型医疗保健企业遭勒索软件攻击，公布该威胁的攻击指标，以及其他公司可以做什么来防止陷入类似灾难。

有些情况下，安全团队感觉捏着信息会大幅增加他人的风险，但不会恶化威胁时，公开披露是可以的。但是，要以一种有所助益的方式披露，回答所有问题，准确解释威胁，列出受影响者可以采取的行动。这种类型的披露，通过合理知会公众的形式，最终会节省受影响公司的大量时间和资源。威胁情报厂商的职责，就是帮助客户和公众保护自己，缓解威胁，而不是将他们暴露于更危险的境地。

(责任编辑：安博涛)