国内时常曝出企业数据泄露、网站被黑、账号被控制等事件,多数情况是被黑客掌握该企业系统、网站漏洞的结果,使得系统出现异常。漏洞,对企业而言是噩梦,对黑客而言是聚宝盆。当漏洞被黑客发现并被利用时,可能对企业产生极大的危害,也可能引发严重的网络安全事件。于是,旨在帮助企业查找和修补漏洞的漏洞平台便出现了。然而,未经管理的漏洞平台,也会给企业和国家带来巨大危害。近日,中国互联网协会网络与信息安全工作委员会组织有关单位起草了《中国互联网协会漏洞信息披露和处置自律公约》,或可使漏洞的处置更加高效。
我国漏洞发现
主要依赖“白帽子”
与国外情况不同,我国漏洞信息的发现主要依赖“白帽子”,披露主要靠漏洞报告平台。“白帽子”指的是正面黑客,他们善于发现计算机系统漏洞,但不会恶意利用漏洞谋取私利,而是公布它们。
国内的漏洞报告平台有官方的,也有民间的,他们之间共享漏洞信息,互通有无,主要从维护整个信息安全的大局着眼。民间有三大漏洞发布平台:乌云、补天和漏洞盒子。
乌云漏洞平台负责人孟卓告诉《中国电子报》记者,在漏洞报告平台之前,国内几乎没有正规的漏洞报告方式,全依赖“白帽子”个人与企业的沟通技巧,或者说发现者本人与企业相熟。有不少血淋淋的例子,2003年的冲击波病毒,发现者1年前就发现并提交给微软,但微软在病毒波及全球后才发布补丁。
现在,微软很重视安全,产品漏洞都会在更新补丁中披露,但国内很多企业还处于2002年微软的阶段甚至更早的阶段。
记者整理资料发现,从去年到今年,漏洞安全事件被公众知晓的越来越多,例如,携程信用卡信息泄露、小米论坛用户资料流出、12306网站用户资料被撞库等等。每次事件发生时,越来越多的普通民众了解了事件的始末,那些发生安全事件的企业处理漏洞的速度也有所加快。这些漏洞的披露,基本来自这三大民间漏洞平台,可以说,他们在提高民众和企业的安全意识上功不可没。
根据国家信息安全漏洞共享平台(CNVD)收录的情况,近3年来新增通用软硬件漏洞的数量年均增长20%左右,漏洞数量呈现快速增长趋势。截至目前,乌云平台上提交了12万条漏洞,补天共收到漏洞5万余处,漏洞盒子共发现了3万多条漏洞。
知道创宇公司副总裁余弦告诉记者,漏洞平台的另一个功劳是“可以很好地促进漏洞生态圈发展与健壮”。因为漏洞的价值可大可小,有的还能得到高价。余弦举例,浏览器跨域ODAY是可以直接控制目标机器或相关网站账号权限的漏洞,买家出价几十万元从发现者手中购买都有可能。
因为价高,也可能产生黑市。孟卓表示,“白帽子”可以通过平台发布漏洞,获得奖励,厂商可以通过平台发现自己的问题,这有利于构建健康良性的安全漏洞生态环境,使安全行业得到更好的发展。
漏洞关系网络和国家安全
披露方式非常重要
因为信息安全的重要性,漏洞也是国家战略资源之一,不能随意公开。
余弦向《中国电子报》记者解释,攻击也好,防御也罢,安全人员或黑客的一切行为都是围绕漏洞进行。现在很多设备、资产属于国家,可能会因为一个漏洞导致问题出现,从而间接或直接危害到国家安全,所以国家往往会把漏洞作为战略资源储备。
补天漏洞响应平台负责人林伟告诉记者,漏洞中被公开的漏洞危害最大。因为大部分企业无法及时对漏洞进行彻底有效的修复,而公开的细节却很容易被黑客关注和利用。恶意的攻击者利用这些漏洞可以轻易入侵企业的网络获取机密信息,这些信息或被黑客收藏和使用、或被用于黑产的各个环节,情节严重的甚至可以搞垮目标公司。“国外的安全机构往往会公布漏洞细节,这就会被黑客利用并快速运用于黑产。”林伟说。
由于关系到网络安全和国家安全,民间漏洞平台披露漏洞的方式、细节就显得非常重要。“漏洞处理是一个有意义且需要摸索的过程,如何做到在合法、合规又不会造成负面效应的大前提下将漏洞很好地利用起来,是个难题。”运营漏洞盒子的上海斗象科技公司coo谢忱对《中国电子报》记者说。
虽然民间漏洞平台发挥了不少作用,但是在漏洞披露方面,也发生过披露之前未及时通知涉事单位、披露信息过于详细易被黑客利用、漏洞信息描述不准确或漏洞披露信息夸大造成社会恐慌等先例。为此,中国互联网协会网络与信息安全工作委员会组织三大民间平台、相关企业、国家计算机网络应急技术处理协调中心(CN-CERT)签订了关于漏洞披露的自律条约,提出了漏洞信息披露的“客观、适时、适度”三原则。
中国互联网协会网络与信息安全工作委员会副秘书长何世平告诉《中国电子报》记者,在当前有关法律法规还不健全的情况下,这份《漏洞信息披露和处置自律公约》将能进一步发挥漏洞平台、软硬件厂商、信息系统管理方和CNCERT的协同作用,对于加强漏洞信息管理,保障国家、行业和用户的网络安全利益具有重要的现实意义。
政府企业民间三方
协同建漏洞发现机制
记者了解到,对漏洞等威胁网络安全信息的治理是工信部网络安全管理工作的一项重要内容,一方面工信部建立了网络安全信息通报和应急处置机制,并指导国家互联网应急中心(CNCERT)建设了国家漏洞信息共享平台( CNVD),促进漏洞的发现和信息共享;另一方面指导督促电信企业和互联网企业及时消除漏洞带来的网络安全隐患,提高网络安全防护水平。
三大民间平台都会与CNCERT、CNVD对接。乌云平台发现政府类漏洞时,会通过CNCERT通知厂商;补天会与公安部、网信办、 CNCERT等监管部门建立密切联系;漏洞盒子会将金融、政府、运营商等重点行业的漏洞转交给CNCERT,由CNCERT统一评估和处置,其他行业漏洞则会在第一时间通知厂商。
何世平告诉记者,CNCERT陆续与乌云、补天、漏洞盒子这3家漏洞平台建立了工作联系,开展漏洞处置协同,包括确定信息归口处置范围,约定涉及政府和重要部门、电信行业的漏洞信息归口CNCERT处置;建立信息反馈机制,由CNCERT对信息进行确认、评级和必要的修正。CN-CERT近3 年从各漏洞平台上接收和处置的涉及党政机关、重要行业单位漏洞信息超过1.3万起。
除了漏洞平台处置漏洞外,各大公司也有自己内部的漏洞处置机制。腾讯玄武实验室负责人于旸告诉记者,腾讯除了加强自身产品的安全严密性外,还鼓励民间安全研究者积极报告腾讯产品漏洞,对每次报告的漏洞给予相应奖励。2014年度报告漏洞表现最佳的人,就获得了腾讯额外颁发的12万元现金。
微软公司也有专门奖励发现微软产品漏洞人员的机制,还设置一些针对微软产品的国际性黑客挑战大赛,以此促进微软产品的安全加固。
作为资深安全人士,于旸认为,目前这种政府、企业、民间结合的漏洞发现、报告、处理机制是国内外安全界在近20年的实践中逐步摸索出来的。虽然大家在一些细节上还存在各自解读,但主要核心问题已经基本能达成共识。
作者:闵杰 来源:中国电子报 2015年43期