blog

披露安全漏洞的政府规则包含零日漏洞

白宫周三发布了漏洞股票流程(VEP),向公众披露了用于确定是否应该共享安全漏洞或保密的非分类规则。这些规则主要涉及尚未发现的安全漏洞并且还没有被修补并被用于确定政府何时有义务向供应商报告这些威胁 - 或许更重要的是,当它不是VEP时,它是在奥巴马政府下建立并且在很大程度上保密到周三之前提供了政府机构披露零日安全漏洞的框架新闻周刊将于12月6日至7日在纽约市资本市场会议上主持人工智能和数据科学图片:新闻周刊媒体集团该流程需要由多个情报机构组成的董事会进行审核。过程中,机构确定政府是否应通知科技公司或其他公司的证券缺陷或是否将信息秘密用于其自身目的,包括情报运作参与审查过程的机构包括国防部,国家安全局,中央情报局,司法部,FBI,国务院,国土部安全,国家情报局局长办公室,财政部,能源部,商务部和管理和预算办公室以及白宫董事会成员审查四个主要领域,确定是否会泄露或隐藏漏洞我们希望确定易受攻击产品的普及程度,利用漏洞的难易程度,如果利用漏洞可以造成多大的破坏以及解决问题的难易程度该小组随后会审查其潜在的好处。政府是否为了自己的目的而坚持利用这种情况权衡了可能给组织带来的潜在风险美国和其他国家的企业和企业受到漏洞的影响以及如果获得了攻击将如何处理它是政府提前了解的漏洞的结果今年早些时候特定情况付诸实践美国国家安全局正在使用的一个被盗漏洞被用来进行WannaCry勒索软件攻击这次袭击蔓延到全球超过一百万台机器上,并扰乱了企业和政府组织的运作。国家安全局未能向微软披露这一漏洞。被发现被盗被执行时,审查过程在五天内发生 - 如果已经有利用漏洞的攻击,则执行得更快。董事会就是否披露漏洞达成共识如果他们选择披露漏洞问题,受影响的公司将在七个工作日内通知如果董事会选择保密漏洞,则需要每年发布一次董事会确定它是否仍具有价值“在绝大多数情况下,负责任地披露新发现的漏洞显然符合国家利益”,根据该政策披露VEP审核流程的决定被认为是罕见的但重要的透明行为让人们深入了解政府如何应对安全漏洞在周三发布的博客文章中,白宫网络安全协调员Rob Joyce表示,提高透明度对于这一过程至关重要“美国人民应该对过程的完整性充满信心这是对发现的漏洞的决策支持,“乔伊斯写道,并指出白宫已经”花了最近几个月审查我们现有的政策,以改善流程,并向公众提供关于VEP的关键细节“白宫是部分称赞为公众提供有关漏洞披露的透明度所采取的措施民主与技术中心自由,安全和技术项目副主任米歇尔·理查森表示,该政策的披露“前所未有,应该阻止政府为以后的使用积累漏洞”“指导任何单一的考虑因素清单决心清楚地认识到赌注有多高,我们希望即将出现的统计数据反映出宪章对保护互联网及其用户健康的偏好 政府黑客行为可能是一种必要的恶行,但它仍然可以有针对性,深思熟虑地进行,“她说,黑曜石安全公司的联合创始人兼首席技术官本约翰逊和前NSA计算机科学家告诉IBT VEP是”朝着正确方向迈出的一步“并注意到”,有一个更明确的过程,重要的考虑和因素被权衡,将填补已经存在的可能非常重大的后果的空白“约翰逊说仍然存在很多挑战,包括事实上,“组织将不得不遵循这个过程,因为它有价值。”他还说,围绕漏洞的背景通常是独一无二的,因此很难说政府会以任何形式的方式作出回应,即使这些指南也是如此“如果政府披露了一个漏洞,然后其他组织没有升级或修补,那么政府是否只是放弃了一个潜在有效的工具来获得极少的防御性好处?当涉及到潜在的破坏性攻击时,很难量化网络风险价值,因此用于权衡各种成本和收益的任何计算都可能是不准确的,“约翰逊说”这是朝着努力迈出的良好一步。保护我们的虚拟边界,同时保持智能,但还需要做更多的工作“披露过程并非没有缺陷或批评前美国国家安全局的承包商和告密者爱德华·斯诺登指出了规则中的漏洞,豁免美国基础设施的关键缺陷来自披露“[美国政府]披露或限制漏洞信息的决定可能受到USG的外国或私营部门合作伙伴的限制,例如保密协议,谅解备忘录或其他限制USG选项的协议披露漏洞信息,“政策显示,根据斯诺登,VEP的这一部分提供了数字武器经纪人政府有缺陷通过使用保密协议来保密,这可以阻止政府披露信息威尔逊麦克唐纳,核心安全的威胁研究经理告诉国际商业时报,虽然VEP的披露提供了一些重要信息对于公众而言,他表示未能将任何私人组织成员纳入审查委员会,这会使审查过程的观点发生偏差“VEP理事会不包括任何商业或国际实体的代表。出于国家安全目的,这是一个明显的排除但关闭外部监督为国家安全考虑的决定的大门,“他说,麦克唐纳还指出VEP的范围相对有限,部分归功于斯诺登强调的漏洞,政府机构可以自由发挥作用。利用不属于VEP指导的漏洞利用他们想做的事情“VEP没有解决国际合作伙伴发现和共享的漏洞,这将使参与实体能够在他们认为合适的情况下报告漏洞,”麦克唐纳说,

查看所有