美國司法部(DOJ)刑事部門網(wǎng)絡(luò)安全分部日前打造了“在線系統(tǒng)漏洞披露計(jì)劃框架”,旨在幫助組織機(jī)構(gòu)開發(fā)正式的漏洞披露計(jì)劃。
實(shí)際上,現(xiàn)在越來越多的企業(yè)機(jī)構(gòu)都已經(jīng)意識(shí)到,漏洞獎(jiǎng)勵(lì)計(jì)劃有助于更高效地發(fā)現(xiàn)網(wǎng)絡(luò)和應(yīng)用中的漏洞。很多大型私有企業(yè)這些年一直在實(shí)施漏洞獎(jiǎng)勵(lì)計(jì)劃。FreeBuf 先前曾經(jīng)采訪過 HackerOne 的 COO 王寧,她在采訪中提到漏洞獎(jiǎng)勵(lì)計(jì)劃對于安全而言的高性價(jià)比,因?yàn)檫@是一種按勞支付的方式。
國內(nèi)如騰訊、百度、新浪、網(wǎng)易等大型廠商都成立了安全應(yīng)急響應(yīng)中心,還有一些如漏洞盒子專門的眾測平臺(tái),為廠商和白帽子搭建橋梁,為國家安全做出貢獻(xiàn)。國家應(yīng)急響應(yīng)中心和國家信息安全漏洞庫,也都是國家在信息安全和漏洞披露方面所提供的支持。
同樣,美國政府也針對漏洞披露采取了一些重要措施。
美國政府的漏洞披露舉措
美國國防部通過安全漏洞披露平臺(tái)“HackerOne”運(yùn)營三大漏洞獎(jiǎng)勵(lì)項(xiàng)目:“入侵五角大樓(Hack the Pentagon)”,“入侵陸軍(Hack the Army)”和“入侵空軍(Hack the Air Force)”。此外,美國總務(wù)署(GSA)在五月宣布成立漏洞獎(jiǎng)勵(lì)計(jì)劃,隨后參議員提出了新的議案,計(jì)劃在國土安全部內(nèi)部建立漏洞獎(jiǎng)勵(lì)試點(diǎn)計(jì)劃。
而此次美國司法部計(jì)劃打造的框架對于公共和私有組織機(jī)構(gòu)都能提供有效幫助,這次的框架沒有局限于項(xiàng)目形式或目標(biāo),而是重在描述有授權(quán)的漏洞發(fā)現(xiàn)和披露行為,減少挖洞過程中違反CFAA(《計(jì)算機(jī)欺詐與濫用法案》)的情況發(fā)生。
按框架行動(dòng),打造漏洞提交四部曲
第一步是設(shè)計(jì)項(xiàng)目:確認(rèn)項(xiàng)目中使用的網(wǎng)絡(luò)組件和數(shù)據(jù)、確定需要使用或排除的漏洞類型和安全實(shí)踐;另外還要指明第三方組件或數(shù)據(jù)是否應(yīng)當(dāng)包含在項(xiàng)目中,以及是否需要獲得額外授權(quán);司法部還建議組織機(jī)構(gòu)在設(shè)計(jì)階段參考 18F (數(shù)字服務(wù)機(jī)構(gòu))的漏洞披露計(jì)劃、國家電信與信息管理局(NTIA)的漏洞披露做法,以及國際標(biāo)準(zhǔn)組織(ISO)的相關(guān)指南。
第二步則涉及項(xiàng)目管理:確定漏洞上報(bào)方式、分配好接收漏洞報(bào)告的入口、指明解答項(xiàng)目相關(guān)問題的人員,以及確定如何處理意外事件和故意違反漏洞政策的行為;
第三步則起草策略:明確描述企業(yè)組織針對某些問題的態(tài)度:包括授權(quán)或未授權(quán)的行為、數(shù)據(jù)訪問限制、不遵守策略的后果、項(xiàng)目覆蓋的系統(tǒng)和數(shù)據(jù)等。同時(shí)還鼓勵(lì)研究人員聯(lián)系組織機(jī)構(gòu)反饋項(xiàng)目未解決的問題,并指明在披露流程中還需要與美國計(jì)算機(jī)應(yīng)急響應(yīng)小組US-CERT、美國工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組ISC-CERT等機(jī)構(gòu)協(xié)作;
第四步實(shí)施項(xiàng)目:該框架提出應(yīng)當(dāng)讓企業(yè)漏洞的披露策略易于獲取,并鼓勵(lì)找漏洞的用戶通過其項(xiàng)目披露系統(tǒng)中的任何漏洞。
FreeBuf 隨后會(huì)有關(guān)于這個(gè)框架的詳細(xì)解讀,敬請期待。
*參考來源:Securityweek,AngelaY 編譯,轉(zhuǎn)載請注明來自 FreeBuf.COM