E安全11月17日讯 美国白宫于本周三发布一份章程，表示将为安全漏洞公平裁决程序（Vulnerabilities Equities Process，VEP）带来更理想的明确性与透明度。

VEP为美国政府在向技术企业隐瞒或披露软件中所发现的安全漏洞时，所采取的相关信息管理机制。

章程旨在为VEP引入更多透明度与规则

这份章程列出了美国政府在决定是否秘密保留零日漏洞这类特定安全漏洞相关信息时，所应考虑到的核心影响因素——包括利用其进行秘密间谍活动，或决定向相关软件开发商公开以确保软件得到补丁修复。

该章程指出，“安全漏洞管理需要得到高度重视，从而保护民众、捍卫关键信息基础设施并维护重要的商业与国家安全利益。新的VEP章程将以一种可重复且可讨论的方式平衡相关利益，确保我们在执行这一重要任务时，加强美国民众对政府问题解决能力的信心。”

推荐立法

尽管本章程旨在为VEP引入更多透明度与规则性，但至少已经有一位国会批评人士表示，有必要将这一进程纳入立法范畴。

威斯康星州共和党人Ron Johnson（罗恩·约翰逊）议员采访时表示，“这方面工作一直在行政层面进行处理，但我认为将其纳入法规将更有帮助。”在今年5月，Johnson曾与夏威夷州民主党人Brian Schatz（布莱恩·沙茨）议员一同提出PATCH法案，希望为VEP提供法律基础。

VEP公平裁决程序详细说明

白宫网络安全协调员Rob Joyce（罗伯·乔伊斯）在本周三在阿斯本研究院召开的一轮会议中，对特朗普自今年1月就任美国总统以来该公平裁决程序的发展情况作出了更为深入的说明。Joyce指出，这份耗时数月敲定的章程在草拟过程中经过了“复杂的对话”。Joyce解释称，在此之前，机构之间的讨论信息“被剥夺了行政权利”，即“关于进入决策流程的具体细节”并没有被提供给需要的各讨论参与方。

例外要求：

这份章程还将涵盖政府方面从私营部门雇用黑客人士以解决零日漏洞的问题。Joyce解释称，“他们也将加入VEP中。”当各政府机构以“非排他性”方式购买这些零日漏洞信息时，意味着其需要遵循合同条款而不能合法地进行信息披露——“需要告知每位VEP成员这一例外要求……并将所有细节信息提供给白宫网络安全协调员。”

Joyce指出，“这样我们将得到一套在现有系统中从未出现过的框架与一系列洞察结论”，意味着各政府机构将能够直接表达无法披露安全漏洞信息的具体原因。他补充称，在这份新章程内，“不鼓励各部门与机构使用此类合同，而应实现与各商业实体间合作关系的结构化转型，以例在购买相关信息后，根据实际需求选择是否进行披露。”

外交公布问题

这份新章程还考虑到了“外交公布”问题，其中主要涵盖国外产品中的安全漏洞，以及联合情报机构可能对美国政府所披露的安全漏洞信息的使用。

“如果我们此前曾与其它国家分享相关情报，并最终选择披露这一情报，则其最终可能对我们自身的情报能力产生影响。”他强调称，美国目前正在与其最亲密的合作盟友——五眼联盟——进行情报共享，而此次的改革进程也应被引入五眼联盟体系，从而推广其在国际关系中的影响力。

VEP需要考虑的四项因素

作为提升透明度举措的组成部分，该章程还列出了VEP在讨论当中需要考虑的四项因素：

• 威胁因素：例如漏洞产品的具体使用广泛度，以及是否存在于关键行业或企业当中。

• 影响力因素：例如用户对产品安全性的依赖程度，安全漏洞的严重程度以及不良行为者对其加以利用可能引发的后果等。另一个问题在于，是否存在足够的已安装补丁用户，用以抵消攻击者利用相关安全漏洞所造成的危害——这类危害通常可通过对修复补丁进行逆向工程实现。

• 缓解因素：例如是否有方法通过配置消除软件漏洞——特别是如果此类机制已经成为现有最佳实践指导方针中的一部分。其中包括考虑开发商是否有可能对安全漏洞进行实际修复。

• 安全漏洞因素：例如“威胁行为者必须具备怎样的访问权才能使用此项漏洞？”以及“威胁行为者发现或获取漏洞知识的可能性有多大？”

重新发现率

最后一点涉及到网络安全领域的一场巨大争论，即重新发现——是指其他人发现并秘密保留此类漏洞的可能性。重新发现状况非常重要，因为如果美国政府没有公布漏洞信息，其可能无法得到有效修复，并最终被其他独立发现者所利用。不同的研究对重新发现率有着不同的结论，但Joyce表示，根据美国情报部门的调查，这一比例其实很低，他认为所使用的各类安全漏洞……很少被他人所重新发现。

VEP裁决程序参与机构

根据此项章程，以下15个联邦政府实体在VEP中拥有席位：

• 国土安全部（DHS），特别是国家网络安全与通信集成中心

• 美国联邦特勤局（USSS）

• 国家情报总监办公室（ODNI）

• 财政部（DOT）

• 国务院（DOS）

• 司法部（DOJ）

• 联邦调查局国家网络调查联合特遣队（NCIJTF）

• 能源部（DOE）

• 白宫行政管理和预算办公室（OMB）

• 国防部（DOD），特别是美国网络司令部（USCYBERCOM）与网络犯罪中心（C3）

• 国家安全局（NSA）

• 商务部（DOC）

• 中央情报局（CIA）

Joyce表示，面对以上各项因素要求，各参与方可能“有些不高兴”，但“给予担当”是非常必要的，因为当前社会中的各个层面都已经“与IT交织在了一起”。他解释称，美国政府运行在IT基础上，利用计算机支持军事行动，并且信任银行业、相信由计算机控制的电网体系。如果存在缺陷，就必须修复相关漏洞，以确保其免受利用、保障自身福祉以及财务状况。另一方面，美国还需要借此获取国外情报。”

过去几个月以来，该漏洞公平裁决程序VEP受到了信息安全社区中批评人士的指责，其表示美国政府为了保留战略情报优势而囤积零日漏洞，且没有向各企业提醒这些安全漏洞的存在。Joyce对这种作法予以驳斥，表示所谓囤积概念“并不存在”，美国政府与各软件企业之间的沟通“非常良好”。各软件企业也没有得到来自俄罗斯、中国、伊朗以及朝鲜的安全漏洞信息提醒。

VEP虽然有效、务实，但仍存在问题

一. 受保密协议等的限制

VEP指出，美国政府决定披露或限制漏洞信息可能受制于外国或私有部门合伙伙伴提出的限制条件，例如保密协议（Non-disclosure agreement，简称NDA）、理解备忘录或其它限制美国政府披露漏洞信息的限制条件。

虽然可能存在法律或其它限制条件，但此项规定潜在允许组织机构通过NDA阻止披露，企图出售安全漏洞细节。

二. 缺乏漏洞风险评级

软件漏洞通常会根据潜在危险性进行评级。例如，微软设置了4个风险等级：低危（Low）、中危（Moderate）、重要（Important）和严重（Critical）。

这对系统管理员而言大有裨益，这样便于他们按照轻重缓急进行处理。评级系统还有助于评估披露的漏洞细节和数量。比如，100个低危漏洞不及一个严重漏洞更值得重视，因为严重漏洞带来的风险更大。

然而，VEP政策中却未提及漏洞评级。这样一来，其它人将必须评估漏洞的严重程度，似乎造成了不必要的延迟。缺乏风险评级将难以评估VEP政策的实际效果：NSA可能会公开披露999个低危和中危漏洞，但却手握5个严重的漏洞而不披露。

然而，若设置了风险评级，就能将美国政府披露的漏洞与商业实体进行对比，能大致推测美国政府未披露的0Day漏洞数量。据推测，这或许也是美国政府未在VEP政策设置风险评级的原因所在。

三.  NSA享受特别待遇

作为VEP执行秘书处，NSA将负责协调所有事宜，包括控制影响内部设备的事宜。

VEP指出，尽快将在政府现成设备或系统（NSA认可）、硬/软件加密功能（无论NSA认可或批准与否）中发现的漏洞报告给NSA。NSA将承担起相关责任，并以VEP执行秘书处的身份正式提交。

然而，NSA并不能完全控制这个过程。NSA员工将负责运营VEP执行秘书处，但是会受美国国防部长的指示和控制。从理论上讲，国防部长能在NSA负责人许可的情况下，替换NSA员工，指定其它机构执行这项工作。

四.  多个备选项会留下“钻空子”的余地

即使披露漏洞是作为默认方案提出来的，但VEP提供了除公开披露以外的大量其它选择。

这项政策提出，美国政府决定披露或保留漏洞只是VEP的其中一个要素，但却不只有这两种做法可供选择。可考虑的其它做法包括:

• 向某些实体披露漏洞缓解信息，而不披露特定漏洞；

• 限制美国政府以某种方式使用漏洞；

• 通过保密的方式向美国及盟国政府报告漏洞；

• 以及通过间接的方式向厂商通知漏洞。

VEP还指出，做所有这些决定都必须理解漏洞披露风险，考虑政府使用漏洞的潜在利益，并权衡所有选择的风险和利益。然而，对于NSA工作人员而言，这里存在着很大的回旋余地。

政策的好坏要靠实际施行情况来判断。修订版的VEP仍让NSA全权负责，要求美国政府实现文化转型，而不是囤积安全漏洞。

至于文化转型，我们还得拭目以待。影子经纪人（Shadow Brokers）窃取并公开NSA网络武器的做法无疑让NSA陷入深思，但是，文化转型一般经历很长的维持期和过渡期。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/596039877.shtml

▼点击“阅读原文” 查看更多精彩内容