政府应该囤积零日漏洞吗?对于这个问题的答案,不同的人有不同的看法。有些人认为对软件错误保密会影响所有用户,无论如何都应该公开错误。另一方面,零日漏洞在一些人看来与国家安全挂钩,认为只要能给国家带来战争或情报收集上的优势,就应该保密。还有一群人持第三种观点。他们知道政府囤积零日漏洞的好处和后果。他们认为不能非黑即白地对待零日漏洞。这样做的利弊要根据当前形势和形势变化进行充分权衡。披露或保密零日攻击。美国政府确实有一个衡量是否应披露漏洞的流程,称为漏洞均衡流程(VEP)。美国联邦政府通过这个过程来确定每个零日计算机安全漏洞的“处理方式”:是应该向公众披露以改善计算机安全环境,还是应该保密并作为对付黑客的杀手级武器。政府的假想敌?VEP是在2000年代后期开发的,因为这是公众对囤积零日漏洞的愤怒。该过程最初一直保密,直到2016年电子前沿基金会(EFF)根据《信息自由法案》(FOIA)获得一份解密文件。2017年年中,随着黑客组织“影子经纪人”的爆料,白宫向公众发布了更新版的VEP,试图提高流程的透明度。那么,VEP究竟是如何运作的呢?今天的VEP流程由白宫授权,由国家安全局(NSA)代表和总统网络安全协调员共同领导。部门的指导,总统的网络安全协调员是流程的主管。其他参与者包括来自10个政府机构的代表,他们组成了权衡审查委员会。该过程需要漏洞发现机构、执行秘书和权衡审查委员会成员之间进行对话。各方就内部披露的漏洞细节提出了自己的权益,例如“该漏洞对自身可能造成的影响”等。错误报告者和索赔人之间将展开新一轮的讨论,以确定是建议披露还是隐藏漏洞。权衡审查委员会的最终共识是接受建议还是寻找其他地方。如果达成披露决议,披露行动将在7天内开始。计算时间线,从发现漏洞到披露漏洞的整个过程可能需要一周到一个月的时间,这已经是一个相当快的政府流程。VEP还需要一份年度报告,其中必须至少包括漏洞披露的执行摘要,并包括整个过程的全年统计数据。第一个报告周期的截止日期为2018年9月30日,这意味着离新的年报不远了。缺点和例外该过程显然并不完美。除了时机之外,保密操作的选择和机构之间的内斗都使政府更倾向于维持现状,而不是争取VEP寻求提供的透明度。围绕该过程的一些实际问题如下:1.保密协议和其他协议VEPs在披露方面受到法律限制,例如保密协议、谅解备忘录和涉及外国或私营行业合作伙伴的其他协议。这就留下了利用这些协议作为阻止披露的借口的机会。2.缺乏风险评估行业根据多种因素对漏洞进行评分。VEP不强制执行此类评估。缺乏这样的分类或评分过程可能会扭曲年终数据。例如,VEP可能公开声称今年披露了100个漏洞,但由于缺乏漏洞上下文,这些漏洞可能都是低风险威胁,对私营行业没有影响。3.NSA领导考虑到NSA实际上是***的利益相关者,也是最有经验的漏洞处理者,其代表被选为委员会执行秘书也就不足为奇了。这一立场赋予了美国国家安全局对VEP过程的绝对权力。4.不披露选项虽然公开披露是默认选项,但其他选项包括:披露缓解信息而不是漏洞本身;美国政府限制使用;向美国盟友保密;向供应商间接披露。这些选项中的大多数都隐藏了漏洞,而忽略了披露的潜在好处。5.缺乏透明度除其他外,该过程似乎没有纳入私营企业的监督。围绕零日攻击的争论一直存在信任问题。那些认为更好的安全性要求任何漏洞都应该被披露的人很难接受内部人士“不是因为它值得保密”的回答。组成权衡审查委员会的10个机构包括商务部和国土安全部,有些人可能认为应该考虑私营行业的利益。但安全倡导者并不这么认为。毕竟,这些席位也是政府指定的。一个由行业代表和具有安全许可的网络安全专家组成的私营行业审查委员会是个好主意。这些委员会成员可以每月或每季度审查VEP流程的结果。如果政府委员会和行业专家小组都认为它“值得保密”,那么安全倡导者就不会那么难以接受。【本文为专栏作者“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
