安全研究人員(yuán)發現了漏洞到底該不該分(fēn)享出來?

發布日期:2017-11-06首頁 > 安全資(zī)訊

11月6日文 今年的WannaCry勒索軟件攻擊以及Equifax公司經曆的大(dà)規模數據洩露事件再一(yī)次給我(wǒ)們敲響警鍾,同時也強調了威脅信息共享、安全研究協作以及開(kāi)源安全工(gōng)具發展的重要意義。然而,在安全專業人員(yuán)之間傳遞威脅信息以指導防禦工(gōng)作本身也會帶來一(yī)定的固有風險,即此類資(zī)訊很可能被惡意攻擊者用于實施入侵活動。

1509882687455001936.jpg

根據分(fēn)析企業Gartner公司發布的《2017年威脅前景狀态報告》,到2020年,99%的安全漏洞利用行爲都将被安全及IT專家們所知(zhī)曉。事實上,Equifax公司經曆的數據洩露事件即是如此——攻擊者們所利用安全漏洞存在于Apache Struts 這一(yī)被各類企業所廣泛采用的Web應用軟件當中(zhōng)。Apache軟件基金會已經于今年3月發布了相關修複補丁,并在超過2個月的時間内發布通告以提醒用戶采取預防措施,從而盡量降低相關風險。

漏洞披露的兩種方式

那麽,安全研究人員(yuán)可以采取哪些步驟來降低其發現及概念驗證代碼遭到濫用的可能性?

作爲日常工(gōng)作的重要組成部分(fēn),安全研究人員(yuán)經常會破解計算機、網絡或者軟件系統的防禦機制,從而證明特定攻擊手段具備可行性;此外(wài),他們還需要在惡意攻擊者實際利用漏洞之前找到響應的補救方法。但在發布研究發現及相關利用方式的過程中(zhōng),研究人員(yuán)們也面臨着其代碼成果被網絡犯罪分(fēn)子用于創建新型漏洞或者惡意工(gōng)具的風險。

爲了盡可能降低研究成果遭到濫用的風險,安全研究業界一(yī)直采取以下(xià)兩種主要披露模式:

  • 一(yī)種是完全披露模式。安全研究人員(yuán)會盡早公布所發現的漏洞詳細信息,并以不加任何限制的方式将信息公開(kāi)傳播,例如公開(kāi)發布(包括用于概念驗證的漏洞利用方法)于在線論壇或者網站上。完全披露方法的支持者們認爲,以往未知(zhī)漏洞的潛在受害者們應當與利用這些漏洞的攻擊者們掌握相同的威脅信息。

  • 另一(yī)種方案則爲負責任披露。大(dà)多數ISV社區、CERT(計算機安全應急響應組)以及SANS研究機構也較支持這種方法。其采取協調立場,由安全研究人員(yuán)向供應商(shāng)提交漏洞咨詢報告,此報告采用屏幕截圖或代碼片段以證明漏洞位置,同時提供證據以及可重現的概念驗證成果以協助進行測試。在通過最安全的途徑(例如加密電(diàn)子郵件)将報告提交給供應商(shāng)之後,研究人員(yuán)通常會爲供應商(shāng)設定合理的時間周期以進行漏洞調查與修複。一(yī)旦補丁發布或者披露時限已到,研究人員(yuán)即可将其發現及分(fēn)析結果公之于衆。

在這樣的背景下(xià),CERT給出的建議是不要披露漏洞本身,因爲能夠從漏洞信息當中(zhōng)獲取收益的群體(tǐ)可能會利用這些資(zī)訊對其他人群造成危害。

負責任披露方法的目标則在于平衡公衆需求,将安全漏洞通知(zhī)給廠商(shāng)并爲其提供充足的時間以作出有效響應。雖然目前還不存在所謂“合理披露時間”之類的共識,但大(dà)多數安全研究人員(yuán)都遵循着CERT提供 的45天等待周期原則。

鑒于軟件領域每周甚至每天都會曝出大(dà)量嚴重安全漏洞,因此最終用戶社區的命運明顯取決于安全研究人員(yuán)是否願意爲自己的行爲負責——隻有負責的安全人員(yuán)才能确保其發現被更多地用于限制惡意活動。

供應商(shāng)社區越來越多地組織bug賞金項目,而最終用戶機構則進行更多滲透測試,從而協助在安全漏洞被公開(kāi)之前将其發現。

然而,發現漏洞隻是整個流程的一(yī)半,将其解決又(yòu)是另一(yī)項重大(dà)挑戰。正因爲如此,Gartner公司才強調稱“改善安全性水平的最具效力的企業行爲,正是切實有效的補丁安裝。”