近期,网络安全圈的白帽频频以自己的名义披露各家厂商的安全漏洞,着实给各家厂商和安全从业者敲响了警钟。回顾整个事件,让我们换个角度来看。真的可以以个人或组织的名义报告漏洞吗?今天小编也借此机会和大家一起探讨一下这个问题。先说说我们的观点吧。无论是个人还是组织,如果发现任何安全厂商的产品漏洞,无论是从维护整个网络安全行业秩序的角度,还是从个人防护的角度,我们都建议您遵循《网络安全漏洞管理规定》、依法披露漏洞。从维护整个网络安全行业秩序,构建和谐社会的角度出发。安全产品需要维护、不断更新迭代,以适应不断变化的网络安全环境。技术的发展导致了安全攻防的升级,在这个过程中难免会发现漏洞。一般来说,厂商在知道自己存在漏洞的前提下,肯定会组织力量尽快修复漏洞,维护用户安全。试想,如果在未通知CNVD和厂商的情况下私??自暴露漏洞,黑客可能会立即利用漏洞对用户进行攻击,给用户和整个社会造成直接损失。这一定是我们不想看到的。从人身保护的角度来说,不通知厂商就泄露漏洞的行为已经是对《网络安全漏洞管理规定(征求意见稿)》的侵犯了。笔者了解到,事实上,多部委一直在共同协商,不断完善相关法律规定,对此类行为进行管控。由于漏洞的泄露,部分用户遭到黑客攻击,进而给用户造成了巨大的损失。非法泄露漏洞是罪魁祸首。因此,建议广大白帽子学会自我保护,依法披露漏洞。网络安全漏洞的披露已经成为网络安全风险管控的中心环节。不规范或违法披露网络安全漏洞,危害网络空间整体安全,突出法律规定的灰色地带。同时,基于不同的动机和利益,国内外不同主体开展了形式多样的网络安全漏洞披露实践,引发了对不良法律后果的反思。Q1:最近关于漏洞披露的讨论很多。与漏洞相关的披露机制是什么?A1:一般情况下,当发现漏洞时,可以向国家信息安全漏洞共享平台CNVD(ChinaNationalVulnerabilityDatabase,ChinaNationalVulnerabilityDatabase)上报,CNVD在90/10天内通知厂商需要修复,厂商将在采取漏洞修补或防范措施后发布,最大程度保障用户安全,促进整个行业的有序发展。如果发现漏洞,不向CNVD报告,而是直接披露,存在一定的风险和隐患。Q2:漏洞披露的类型和原则是什么?A2:常见的披露类型有四种:不披露、全面披露、负责任披露和合作披露。漏洞一旦被发现,即进入漏洞披露阶段。漏洞发现者不得公开漏洞,但对与安全漏洞相关的信息完全保密,既不向厂商报告也不向社会公开。这是保密的。相反,漏洞发现者也可能公开完整地披露相关漏洞信息,没有提前警告厂商,厂商没有足够的时间修复漏洞,漏洞信息直接暴露给潜在的恶意攻击者,这是完全披露。也称为不负责任的披露。漏洞发现者先报告漏洞,厂商修复漏洞后,厂商再公布相关漏洞信息并发布补丁。这是负责人的披露。当然,漏洞发现者和供应商之间在实践中可能会发生争议。在责任披露的基础上引入协调者,协调者通常在各利益相关者之间扮演信息传递者或信息中介的角色,这就是协同披露。原则上一般采用负责任的披露。协同披露强调漏洞信息的共享,各方通力合作更有利于保护网络安全。Q3:漏洞披露违规存在哪些风险?A3:首先是用户安全风险。违规披露漏洞将导致漏洞扩散。很多知名的开放社区零门槛,很多黑客也潜伏其中,导致漏洞公开后的一段时间内内容黑客活动激增。在制造商发布漏洞补丁和用户更新之前,这种安全风险很难控制。一个著名的例子是Mirai僵尸网络,它在2016年攻击了美国的物联网设备,导致美国多个城市的互联网瘫痪。事实上,它最初是用于对Telnet的嵌入式监听设备进行暴力攻击。后来,Mirai源代码被发布到开源社区,产生了一个模拟版本,用于通过SecureShell(SSH)对监听硬件进行暴力攻击。直到今年,Mirai变体继续对嵌入式Linux系统构成持续威胁。二是法律风险。安全从业者违规披露漏洞,不仅违反行业规则,也给自身带来法律风险。《中华人民共和国网络安全法》规定开展网络安全认证、检测、风险评估等活动,向社会公开系统漏洞、计算机病毒、网络攻击、网络入侵等网络安全信息,应当遵守国家有关规定。根据《网络安全漏洞管理规定(征求意见稿)》的规定,第三方组织或者个人不得在网络产品、服务提供者、网络运营者向社会或者用户发布漏洞修复或者防范措施前发布相关漏洞信息,不得发布和提供、服务和系统漏洞,以从事危害网络安全的方法、程序和工具。2017年,网易SRC指控白帽公司违反漏洞测试原则,未经网易和NSRC授权,公开披露漏洞细节。Q4:漏洞披露者如何规避法律风险?A4:需要遵守相关法律法规,遵循规范程序。一般先上报给CNVD,CNVD通知厂商90/10天内修复,然后公开漏洞。对于漏洞的报告和披露,国内已基本形成国家安全漏洞数据库,第三方漏洞平台与企业SRC或PSIRT并存。像这次事件一样深信不疑,他们也对漏洞检测持开放态度,国内很多企业和组织都奖励漏洞发现者。网络安全漏洞的披露汇集了政府部门、产品和服务提供商、第三方研究机构、网络安全服务机构、用户、黑客或“白帽子”等利益相关者及其协调关系。所有利益相关方均应负起应有的法律责任,共同促进网络社会的有序运行。互联网空间从来不是法外之地,尤其是进入万物互联时代,一举一动都可能对用户、企业、市场产生影响。所以这也需要大家遵守规则,尊重法律法规,共同维护网络空间的安全与和谐。未来,我们也希望随着法律法规的进一步完善和网络安全市场的成熟,代表网络正义的“白帽子”也能发挥更大的力量。
