查看原文
其他

美国发布“CERT漏洞协同披露指南”

2017-08-18 E安全编辑部 E安全

E安全8月18日讯 美国卡内基梅隆大学软件工程研究所( Software Engineering Institute,简称SEI)是美国国防部资助的研发中心,由卡内基梅隆大学运营。SEI提供技术推进软件工程实践,与组织机构协作显著改进软件工程能力。

软件工程研究所CERT网络安全部是全球领先信任机构,致力于改进计算机系统、网络以及美国网络安全行业资产的安全与弹性。

当地时间8月15日,美国卡内基梅隆大学软件工程研究所CERT部门发布 “CERT漏洞协同披露指南”(The CERT Guide to Coordinated Vulnerability Disclosure)。

“漏洞协同披露”(Coordinated Vulnerability Disclosure,简称CVD)是缓解信息安全漏洞,削弱对手优势的过程。CVD是一个过程,而非事件。发布补丁或文件是CVD过程中的重要事件。

CVD参与对象可能会反复提出以下问题:

  • 得知产品存在漏洞,应采取哪些行动予以响应?其它哪些人需要了解事件?这些人需了解事件的最佳时机?

只有当这些问题迎刃而解,无人存在疑问时,CVD过程才算结束。

CVD与漏洞管理(Vulnerability Management,简称VM)不同,不可混为一谈。VM包含CVD的下游过程,一旦漏洞被披露,部署人员必须采取行动予以响应。

CVD原则如下:


• 降低损害——发布漏洞信息降低潜在损害;使用漏洞缓解技术;减少陷入风险的时间;发布优质补丁;自动识别易受攻击的数据,自动部署补丁。

• 假设会有人报告漏洞——假设有人已花费时间和精力联系厂商或协调者报告问题。

• 避免措手不及——措手不及会增加漏洞披露带来的消极后果,应尽量避免。

• 激励——奖励通常比惩罚更有效。由于激励会加强安全研究人员与组织机构之间的未来合作关系,因此激励较为重要。

• 道德考量——CVD过程可采用技术和媒体专业团体的大量道德准则。

• 改进过程——CVD过程参与者应吸取经验,并响应改进过程。CVD还能为组织机构的软件开发生命周期(SDL)提供重要反馈。

• CVD苛刻——漏洞披露是多面问题,似乎没有“正确”答案,只有“更好”或“更糟”的解决方案。

CVD过程包含的角色

CVD以发现漏洞开始,部署补丁或缓解措施结束。因此,CVD过程涉及不同的角色和利益相关者

• 发现者:发现漏洞的个人或组织机构。

• 报告者:向厂商报告漏洞的个人或组织机构。

• 厂商:生产或维护漏洞产品的个人或组织机构。

• 部署者:必须部署补丁或采取其它补救措施的个人或组织机构。

• 协调者:促进协同响应过程的个人或组织机构。

CVD阶段

CVD过程可广泛定义为阶段。虽然这些阶段有时可能会出现次序颠倒的情况,甚至会在处理单个漏洞案例中重复出现(例如,接收者可能需要独立验证报告),但常见顺序如下:

• 发现:发现产品中存在的漏洞。

• 报告:产品厂商或第三方协调员收到漏洞报告。

• 验证并归类:报告接收人验证报告,确保准确度,以采取进一步行动之前确定是否优先处理。

• 修复:开发修复计划(软件补丁,也可能是其它机制)并测试。

• 公众意识:将漏洞和修复计划披露给公众。

• 部署:将修复计划应用到已部署的系统中。

CVD过程差异

CVD过程会因参与者、时间推移和环境不同而存在差异:

• 选择披露政策:由于业务需求各异,披露政策可能需要适用于不同的组织机构、行业、产品,例如补丁分发或安全风险。

• 多方协调:一个发现者与一个厂商之间的协调相对直接,但有些案例涉及多名发现者、或复杂的供应链通常需要更多关注。

• 协同与同步:不同的组织机构的工作步调不同,这会给同步漏洞信息和补丁增加难度。

• 协同范围:CVD参与者必须决定协同过程范围,例如最好将关键基础设施漏洞从头到尾协同披露给系统部署者,然而,对于移动应用程序的漏洞,也许通知了开发人员自动更新过程就足够了。

CERT协调中心资深漏洞分析师艾伦豪斯霍尔德表示,移动设备的数量已经超出传统计算机的数量,而物联网将在未来几年赶超移动设备数量。随着漏洞发现漏洞和技术为了满足现实不断发展,因此协调和披露的工具与过程也必须满足现实要求。由于硬件系统可能会主宰未来的互联网,因此必须重新评估许多有关披露时间、协调渠道、开发周期、扫描、打补丁等漏洞处理过程的设想。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1865174372.shtml

相关阅读:

▼点击“阅读原文” 下载E安全APP

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存