美国联邦贸易委员会(FTC)和司法部(DOJ)正在鼓励公司为白帽黑客提供一条上报安全漏洞的有效途径,并制定适当的流程来响应报告中提及的漏洞问题。
美国联邦贸易委员会和司法部表示,未来的机构组织必须采用某种形式的漏洞披露计划(VDP),供善意的安全研究人员汇报安全漏洞情况。但是目前,大多数组织还并不具备任何一种形式的漏洞披露计划。根据HackerOne最近发布的一项研究发现,在福布斯“全球2000强”企业中,有高达94%的组织并没有为研究人员提供报告安全问题的途径。
漏洞披露计划可以为研究人员上报企业安全问题提供一个安全通道,并且包含一些用于分类和缓解这些安全漏洞的有效措施。漏洞披露计划目前已经成为行业最佳实践,监管机构和执法部门也正在予以高度关注。今年6月,美国联邦贸易委员会在消费者产品安全委员会(CPSC)的公开致辞中表示,未能提供至少一种基本漏洞披露计划的企业,可能已经违反了《美国联邦贸易委员会(FTC)法案》。
“未能为安全研究人员提供汇报和处理安全漏洞报告的适当程序属于违法行为,其本身已经违反了《联邦贸易委员会法案》第5条规定。
与此同时,美国司法部也发出了类似的呼声。司法部在2017年《在线系统漏洞披露计划框架》中提供了一个非约束性框架(虽说是非约束性,但是存在强硬实施的暗示),规定了漏洞披露计划的基本内容。当然,今天的“框架”很有可能也会成为明天的“法律”。
司法部的框架出自刑事庭(上诉法院设立两个庭:刑事庭和民事庭)的网络安全部门,旨在帮助安全研究人员和组织避免不必要的CFAA(计算机欺诈和滥用法案)误解。该框架概述了设计漏洞披露计划的过程,明确地描述了授权的漏洞披露和发现行为,从而大大降低了由于安全漏洞而引发的触犯《计算机欺诈和滥用法案》的民事或刑事违法行为的可能性。
这种行业最佳实践现已被编入粗略的草案之中,这些草案在未来的某一时刻将成为法律。那么现在,您的组织需要做些什么才能防患于未然,满足这些“如今的法案,未来的法律”的要求呢?
漏洞披露计划并不仅仅意味着漏洞悬赏
《美国联邦贸易委员会法案》和司法部框架都没有为漏洞披露计划指定特定的模型,例如ISO 29147(涵盖了如终端用户、安全研究人员和黑客等外部人员所暴露的漏洞)和30111(涵盖了所有漏洞处理流程,无论是内部确认,或被外部人员报告的)。这意味着,不同的组织可以根据自身情况,合理制定符合自身要求的漏洞披露计划,为创新思维提供尝试机会。
另外一点需要特别指出的是,美国联邦贸易委员会和司法部也并没有盲目鼓励组织推出漏洞悬赏项目。没有人要求你必须为提交漏洞信息的黑客支付费用,但是你至少应该为他们提供一个汇报漏洞信息的有效沟通渠道。
许多公司经常会将“漏洞披露计划”和“漏洞悬赏计划”混为一谈,不得不说,这是一种非常危险的想法。本质上来说,漏洞悬赏是为黑客寻找安全漏洞提供经济激励。但是,公司不应该在没有进行任何内部测试的情况下,就盲目推出漏洞悬赏项目。更重要的是,公司还应该提前建立有效的内部流程,来处理接收到的漏洞问题。所谓有效的漏洞披露计划,它不仅仅是政策,它还代表一种分类、处理报告以及修复报告中所涉及问题的能力。
有效地处理报告中涉及的漏洞,要比简单地接收漏洞问题困难得多。在没有提供合适的解决方案的情况下,公开漏洞报告内容,可能会为您的组织带来法律后果。
你必须为漏洞报告制定具体实践措施
仅仅提供一个渠道来接收来自善意研究人员的安全问题还是远远不够的。你必须制定具体的措施和流程来解决报告中提及的漏洞问题。未能对报告的问题进行分类和处理同样会被视为“疏忽”。
“适当的流程”不仅仅是一个“security@”的电子邮件,而是更为全面的计划。一旦你接收到安全报告,就不能再对其视而不见。你需要采取适当的流程来修复这些问题,否则的话,这些已经暴露的问题就会变得更具威胁。如此一来,贵公司可能就将面临法律诉讼和公众舆论的双重压力。
如果说,你不知道如何制定“适当的流程”,建议你可以遵循上文提及的“司法部框架”,其中提供的指导原则虽然只是一些建议,但还是很具参考价值的。
未来即将步入漏洞披露计划(VDP)时代
对于所有组织来说,是时候采取至少一种形式的漏洞披露计划了!毕竟,在这个万物互联的世界中,任何一家企业的关键安全问题都会越来越多地影响我们整个互联网世界的安全。正所谓“一屋不扫何以扫天下”,想要维护网络安全整体格局,首先要把自己的“房子”整理好,为那些想要帮忙的善意安全研究人员留下一个“欢迎垫”,这才是如今的行业最佳实践。
可以预期的事,未来,像联邦贸易委员这样的监管机构可以并且将会执行这一新的规范。而我们就一起期待更为普及、有效的漏洞披露计划吧!
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。