不堅(jiān)持負(fù)責(zé)任的披露,就有可能放大某些漏洞或事件的威脅。
作為了解深網(wǎng)與暗網(wǎng)情報(bào)的公司,每天都會看到很多東西,從被盜數(shù)據(jù)和內(nèi)部人聘用,到新興網(wǎng)絡(luò)與物理威脅,應(yīng)有盡有。這些觀察所得也意味著,威脅情報(bào)公司往往會比企業(yè)更早知道他們的安全漏洞、現(xiàn)有威脅和關(guān)鍵事件。
雖然此類場景在威脅情報(bào)廠商之間越來越普遍,整個行業(yè)還是得標(biāo)準(zhǔn)化后續(xù)過程并實(shí)行一些行動綱領(lǐng)。比如說,如果你發(fā)現(xiàn)某公司對自己感染了危險(xiǎn)惡意軟件毫不知情,你該怎么辦?你發(fā)覺某公司可能在不遠(yuǎn)的將來發(fā)現(xiàn)自己遭受了大規(guī)模數(shù)據(jù)泄露,你該怎么辦?或者,你發(fā)現(xiàn)某公司有個零日漏洞可能危及它整個終端用戶基礎(chǔ),你報(bào)是不報(bào)?
雖然通過媒體過其他營銷渠道,立即向公眾披露此類發(fā)現(xiàn)挺具誘惑力的(也就是所謂的完全披露),但這么做也有可能激化攻擊受害者及其相關(guān)網(wǎng)絡(luò)的情況。后果會很嚴(yán)重。這也是為什么威脅情報(bào)廠商是時候規(guī)范自身,認(rèn)清負(fù)責(zé)任披露重要性的原因了。
慎重透露安全問題
首先,不堅(jiān)持負(fù)責(zé)任的披露,就有可能放大某些漏洞或事件的威脅。如果不給受影響公司足夠的時間處理,就公開曝光零日漏洞,你同時也將漏洞泄露給了網(wǎng)絡(luò)罪犯,使他們能在補(bǔ)丁放出前利用漏洞。鑒于補(bǔ)丁不總能即時發(fā)布,關(guān)于漏洞的信息不露給潛在濫用者知道,就顯得更加重要了。
即使某些情況下,漏洞信息已落入壞人之手,公開該信息依然是有害的。比如說,如果你看到精英暗網(wǎng)論壇上,一小撮網(wǎng)絡(luò)罪犯正討論利用某流行手機(jī)銀行App的漏洞。假設(shè)利用該漏洞可繞過該App的反欺詐措施,令其整個終端用戶基礎(chǔ)都極易被詐騙。雖然該漏洞的知識僅限于一小撮精英黑客知曉,公開披露漏洞也會大幅增加能夠利用該漏洞牟利的人數(shù),讓終端用戶群更易被騙。這種行為,在該漏洞影響公司關(guān)鍵系統(tǒng)、敏感信息和更廣泛的利益相關(guān)者網(wǎng)絡(luò)時,更具破壞性。
讓受害者蒙羞的后果
除了不遵從負(fù)責(zé)任披露的安全暗示,此類實(shí)踐還方便了對受害者進(jìn)行羞辱——大量負(fù)面消息廣泛傳播。首先,這可謂受影響公司的公關(guān)噩夢。大量負(fù)面報(bào)道和無數(shù)問詢,意味著公司要花費(fèi)寶貴的時間和資源,來驅(qū)散恐懼,回應(yīng)媒體、客戶、股東、利益相關(guān)者和其他人士——大多沒有明確的答案。很多案例中,不良公關(guān)還會擴(kuò)大威脅、事件或漏洞的影響,令大眾過度反應(yīng),漣漪效應(yīng)更加擴(kuò)大,耗去公司更多時間和資源。
對披露公司敏感信息導(dǎo)致非必要公眾抗議和受害者羞辱的廠商而言,后果可能是慘烈的。無論情況是否就是這樣,參與到此類實(shí)踐中的廠商,看起來就是將傷害另一品牌聲譽(yù),作為自己獲得媒體報(bào)道、賺取業(yè)界辨識度、建立自己聲名的途徑。威脅情報(bào)廠商通常壓力山大,常面臨第一個披露“突發(fā)新聞”和發(fā)現(xiàn)重大信息的競爭。盡管公開披露某些漏洞及受影響公司或許有所收益,但必須認(rèn)識到:潛在負(fù)面后果可能既沒有生產(chǎn)力,又于業(yè)界謀求的安全文化無益。
情報(bào)披露
盡管安全研究人員一直都是負(fù)責(zé)任披露的主要支持者,但是通行實(shí)踐和協(xié)議才剛剛開始獲得情報(bào)廠商的重視。在Flashpoint,雖然根據(jù)漏洞或事件的嚴(yán)重性和本質(zhì),處理方法會有不同,立即通知受影響企業(yè)一直是該廠商的首要之務(wù)。他們與企業(yè)合作,確保漏洞被修復(fù),威脅被緩解;而且,很多案例中,可以在不公開受影響企業(yè)的情況下就做到這一點(diǎn)。
很多時候,負(fù)責(zé)任披露意味著公布圍繞事件的關(guān)鍵事實(shí)——也就是其他人保護(hù)自身需要知道的東西,而又不透露所有非必要細(xì)節(jié)。比如說,可以披露美國西海岸某大型醫(yī)療保健企業(yè)遭勒索軟件攻擊,公布該威脅的攻擊指標(biāo),以及其他公司可以做什么來防止陷入類似災(zāi)難。
有些情況下,安全團(tuán)隊(duì)感覺捏著信息會大幅增加他人的風(fēng)險(xiǎn),但不會惡化威脅時,公開披露是可以的。但是,要以一種有所助益的方式披露,回答所有問題,準(zhǔn)確解釋威脅,列出受影響者可以采取的行動。這種類型的披露,通過合理知會公眾的形式,最終會節(jié)省受影響公司的大量時間和資源。威脅情報(bào)廠商的職責(zé),就是幫助客戶和公眾保護(hù)自己,緩解威脅,而不是將他們暴露于更危險(xiǎn)的境地。