让安全研究人员左右为难的问题:漏洞共享还是不共享?

  终端用户群体只能寄希望于安全研究员的负责任行动。



 

今年的WannaCry勒索软件攻击,以及Equifax大规模数据泄露事件,凸显出威胁信息共享、安全研究协作和开源安全工具开发的重要性。但这些工作的开展,往往伴随着信息被滥用的固有风险。安全人员用以防御威胁的信息,可能也传到了恶意攻击者手中。

Gartner的调查显示,到2020年,安全及IT人员将能获悉99%的可利用漏洞。Equifax数据泄露事件的情况正是如此,攻击者利用的,就是流行企业平台 Apache Struts Web应用软件中的一个已知漏洞。Apache软件基金会早在3月份就发布了补丁,Equifax拥有2个多月的时间采取预防性措施,本可以最小化数据暴露风险的。

于是,这种情况下,安全研究人员可以采取什么措施,来缓解自己发现的漏洞及利用代码不被滥用呢?

安全研究人员的工作经常涉及入侵防御机制,计算机、网络或软件系统都是他们的目标。他们通过入侵,来验证某种给定攻击是否可行,并找出修复该漏洞的方法,以防漏洞被坏人利用。但是,公开研究发现和相关漏洞利用程序,也给研究人员带来了风险,他们的代码有可能被网络罪犯用于创建新的漏洞利用程序,或者集成进恶意工具中。

为最小化研究发现被滥用的风险,安全研究社区应用了2种主要的披露模式:

  1. 完全披露模式

安全研究人员尽早公开新发现漏洞的细节,每个人都能获取到该信息,没有任何限制——通常是在在线论坛或网站上发布(包括用于概念验证的漏洞利用程序)。完全披露模式的支持者认为,未知漏洞的潜在受害者,应与可能利用该漏洞的攻击者一样,获取到同样的信息。

  2. 负责任披露

这种模式受到大多数独立软件开发商(ISV)、计算机应急响应小组(CERT)和SANS研究所的支持。该模式采取了更为协作的方式,安全研究员将漏洞咨询报告提交给厂商,其中用截屏或代码段、相关支持证据等,描述出漏洞位置,还可能含有可重现的概念验证攻击以辅助测试解决方案。

在用尽可能安全的途径(比如加密邮件)向厂商提交了报告后,研究人员通常会给厂商留有比较合理的漏洞调查与修复时间。一旦补丁可用,或者过了披露时间线,研究人员就会公布自己所发现漏洞的分析报告。

这种模式下,CERT建议不要披露漏洞利用程序本身,因为能从利用程序获益的人数,远不及该利用程序被武器化后可能受到伤害的人数。负责任披露模式的目标,是要平衡公众知悉安全漏洞的需求与厂商做出有效响应的时间需求。尽管在“合理披露时间”上尚未达成共识,大多数安全研究人员遵从CERT建议的45天等待时间。

鉴于软件中发现的重大漏洞层出不穷,终端用户很明显只能依靠安全研究人员负责任的披露,才能限制其漏洞发现不被恶意使用的可能性。厂商漏洞奖励项目的增加,还有终端用户公司渗透测试频度的增加,也能进一步推动漏洞在公开前就被发现。

然而,发现漏洞仅仅是安全保卫战的一部分,修复漏洞才是更大的挑战。Gartner曾声称“企业改善安全的唯一最有效动作就是修复”,原因正在于此。

 

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

黑客提供跟踪服务 不管你是谁 不管你在任何

黑客提供跟踪服务 不管你是谁 不管你在任何地方

有机会的话,你会不会追踪自己朋友或对手的旅行模式?说实话,大部分人都会想知道某人...[详细]

让安全研究人员左右为难的问题:漏洞共享还

让安全研究人员左右为难的问题:漏洞共享还是不共享?

终端用户群体只能寄希望于安全研究员的负责任行动。 今年的WannaCry勒索软件攻击,以...[详细]

微信新骗局来了,这些新戏码不得不关注!

微信新骗局来了,这些新戏码不得不关注!

微信作为社交类APP霸主,已渗透到我们生活的方方面面,然而微信在给我们带来便利的同...[详细]

抗D服务不收费 DDoS防护新常态

抗D服务不收费 DDoS防护新常态

Cloudflare终结DDoS防护服务动态定价之后,所有网站拥有者都受到了平等的保护,潜在攻...[详细]

动不起来的大数据都是发酵中的垃圾

动不起来的大数据都是发酵中的垃圾

大数据的概念炒作一向厉害,很多公司有着海量的数据流,有着大把的客户和资金,技术也...[详细]

返回首页 返回顶部