終端用戶群體只能寄希望于安全研究員的負(fù)責(zé)任行動
今年的WannaCry勒索軟件攻擊,以及Equifax大規(guī)模數(shù)據(jù)泄露事件,凸顯出威脅信息共享、安全研究協(xié)作和開源安全工具開發(fā)的重要性。但這些工作的開展,往往伴隨著信息被濫用的固有風(fēng)險。安全人員用以防御威脅的信息,可能也傳到了惡意攻擊者手中。
Gartner的調(diào)查顯示,到2020年,安全及IT人員將能獲悉99%的可利用漏洞。Equifax數(shù)據(jù)泄露事件的情況正是如此,攻擊者利用的,就是流行企業(yè)平臺 Apache Struts Web應(yīng)用軟件中的一個已知漏洞。Apache軟件基金會早在3月份就發(fā)布了補丁,Equifax擁有2個多月的時間采取預(yù)防性措施,本可以最小化數(shù)據(jù)暴露風(fēng)險的。
于是,這種情況下,安全研究人員可以采取什么措施,來緩解自己發(fā)現(xiàn)的漏洞及利用代碼不被濫用呢?
安全研究人員的工作經(jīng)常涉及入侵防御機制,計算機、網(wǎng)絡(luò)或軟件系統(tǒng)都是他們的目標(biāo)。他們通過入侵,來驗證某種給定攻擊是否可行,并找出修復(fù)該漏洞的方法,以防漏洞被壞人利用。但是,公開研究發(fā)現(xiàn)和相關(guān)漏洞利用程序,也給研究人員帶來了風(fēng)險,他們的代碼有可能被網(wǎng)絡(luò)罪犯用于創(chuàng)建新的漏洞利用程序,或者集成進(jìn)惡意工具中。
為最小化研究發(fā)現(xiàn)被濫用的風(fēng)險,安全研究社區(qū)應(yīng)用了2種主要的披露模式:
1. 完全披露模式
安全研究人員盡早公開新發(fā)現(xiàn)漏洞的細(xì)節(jié),每個人都能獲取到該信息,沒有任何限制——通常是在在線論壇或網(wǎng)站上發(fā)布(包括用于概念驗證的漏洞利用程序)。完全披露模式的支持者認(rèn)為,未知漏洞的潛在受害者,應(yīng)與可能利用該漏洞的攻擊者一樣,獲取到同樣的信息。
2. 負(fù)責(zé)任披露
這種模式受到大多數(shù)獨立軟件開發(fā)商(ISV)、計算機應(yīng)急響應(yīng)小組(CERT)和SANS研究所的支持。該模式采取了更為協(xié)作的方式,安全研究員將漏洞咨詢報告提交給廠商,其中用截屏或代碼段、相關(guān)支持證據(jù)等,描述出漏洞位置,還可能含有可重現(xiàn)的概念驗證攻擊以輔助測試解決方案。
在用盡可能安全的途徑(比如加密郵件)向廠商提交了報告后,研究人員通常會給廠商留有比較合理的漏洞調(diào)查與修復(fù)時間。一旦補丁可用,或者過了披露時間線,研究人員就會公布自己所發(fā)現(xiàn)漏洞的分析報告。
這種模式下,CERT建議不要披露漏洞利用程序本身,因為能從利用程序獲益的人數(shù),遠(yuǎn)不及該利用程序被武器化后可能受到傷害的人數(shù)。負(fù)責(zé)任披露模式的目標(biāo),是要平衡公眾知悉安全漏洞的需求與廠商做出有效響應(yīng)的時間需求。盡管在“合理披露時間”上尚未達(dá)成共識,大多數(shù)安全研究人員遵從CERT建議的45天等待時間。
鑒于軟件中發(fā)現(xiàn)的重大漏洞層出不窮,終端用戶很明顯只能依靠安全研究人員負(fù)責(zé)任的披露,才能限制其漏洞發(fā)現(xiàn)不被惡意使用的可能性。廠商漏洞獎勵項目的增加,還有終端用戶公司滲透測試頻度的增加,也能進(jìn)一步推動漏洞在公開前就被發(fā)現(xiàn)。
然而,發(fā)現(xiàn)漏洞僅僅是安全保衛(wèi)戰(zhàn)的一部分,修復(fù)漏洞才是更大的挑戰(zhàn)。Gartner曾聲稱“企業(yè)改善安全的唯一最有效動作就是修復(fù)”,原因正在于此。