美国BIS发布网络安全禁令,全球漏洞共享机制受到严峻挑战NewRegulations"),May26,2022,已刊登于美国政府公报网站《联邦公报》。总的来说,没有重大的BIS此次发布的新规变化以及2021年发布的征求意见稿,但微软等国家科技巨头纷纷表示担忧,全球网络安全漏洞共享机制可能面临严峻挑战。BIS新规划分全球国家分为四类,ABDE,其中D类是最受关注和受限制的国家和地区,我国被归为D类。根据新规要求,实体在合作时必须提前申请D类国家和地区的相关政府部门或个人,获得许可后方可发送po信息潜在的跨境网络漏洞。当然,条款也有例外。如果是出于合法的网络安全目的,例如公开披露漏洞或事件响应,则无需事先申请。微软认为BIS发布的这一条款将严重阻碍与安全研究人员和漏洞赏金计划参与者的跨境合作,但美国BIS坚称目前该条款的范围相对狭窄,该条款的实施对保护美国国家安全。非常好。禁止出口攻击性网络工具2021年10月,美国BIS发布《禁止出口攻击性网络工具》规定,旨在阻止美国实体向我国和俄罗斯出售攻击性网络工具,并明确指出任何禁运国家需要许可证才能使用某些技术。美国商务部长吉娜·雷蒙多表示,“对某些网络安全项目实施出口管制的临时最终规则是一种适当量身定制的方法,旨在保护美国国家安全免受恶意网络行为者的侵害,同时确保合法的网络安全活动。”与此同时,美国商务部进一步解释说,规则符合瓦森纳协定,全称《关于常规武器和两用物品及技术出口控制的瓦森纳协定》,该协定控制“军民两用技术”的出口政策,共有42个协定国,包括美国、英国、法国与德国、日本等。这里需要注意的是,俄罗斯是协议国之一,但仍是禁运对象之一。瓦森纳协议的军民两用技术清单在2013年进行了修订,将“入侵软件”管制,所有42个成员都受到出口管制。微软表示,全球漏洞共享机制可能会受到挑战。周四(5月26日)出台的规定,要求跨境发送潜在网络漏洞的实体获得许可后,微软立即向BIS指出了新规定可能给企业带来的问题。微软认为,新规中对“政府终端用户”的定义过于宽泛,这意味着企业在相互合作前需要核实合作伙伴是否为D类国家和地区的政府。毫无疑问,此举大大增加了沟通成本和合规压力,直接影响了微软等国际科技巨头与网络安全研究人员和漏洞赏金猎人在全球范围内的跨界合作。因此,微软建议BIS取消这一限制或修改为更明确的规则,但该建议未被采纳。微软在其建议中写道:“由于政府关系和限制,对参与网络安全活动的个人和实体的限制将大大抑制全球网络安全市场部署常规网络安全活动的能力。”很多时候,在无法确定对方是否与政府有关联的情况下,企业迫于合规压力只能放弃这种合作。此外,微软经常通过逆向工程等技术分析漏洞后,发布相关补丁和升级。一旦漏洞共享机制被破坏,将直接降低微软发现和修复漏洞的速度。解决微软提出的这些问题。BIS最终对新规则做了一些修改,但并没有完全听从微软的建议,因为那是“破坏了整个新规则的核心点”。对此,BIS强调,代表政府行事的个人和组织必须经过审计和许可,以防止D类国家和地区以违反国家安全和外交政策的方式获取相关网络安全项目和技术。这是非常有必要的。对于已经采纳的意见和修改,微软向BIS表示感谢,但仍对“政府最终用户”表示困惑。因此导致技术落后。美国BIS认可微软的担忧,但他们仍然坚信,新规的实施对保护美国国家安全具有重要作用,对网络安全行业的影响在可控范围内。参考来源:https://www.nextgov.com/cybersecurity/2022/05/why-commerce-went-against-microsoft-rule-control-cyber-exploits/367575/
