大多数“白帽”安全工程师都是出于社会责任感的驱使,一旦发现漏洞就想大声告诉大家。在整个网络安全行业,无论是新发现的漏洞还是不断演变的网络威胁,我们都相信快速共享信息的目的是促使受影响的服务提供商(硬件或软件)立即采取行动,及时修复漏洞。而当我们把时间线拉长,从宏观角度看待漏洞披露的影响,就会发现它是一把双刃剑——“及时修复”和“恶意利用”都在游戏中。过早公布漏洞可不是什么好事过早地“完全披露”以前未知的问题可能会滋生邪恶的种子——黑客的行动通常比服务提供商的IT团队更快。一个著名的例子是Mirai僵尸网络,它在2016年攻击了美国的互联网连接设备,导致美国多个城市的互联网瘫痪。事实上,它最初用于对Telnet的嵌入式监听设备进行暴力攻击。后来,Mirai源代码被发布到开源社区,产生了一个模仿版本,用于通过SecureShell(SSH)对监听硬件进行暴力攻击。为了提高入侵率,这些攻击利用了安全性较弱的物联网(IoT)设备中的多个漏洞。今天,Mirai变体仍然对嵌入式Linux系统构成持续威胁。下图显示了Mirai造成的威胁趋势。Mirai变体持续出现,直到2019年6月。Mirai于2016年首次被发现,2018年再次出现活动激增。(来源:Ixia《2019安全报告》)争取时间先修复错误的更好方法是通过幕后负责任的披露。公告在指定时间段(通常为90或120天)后发布,让受影响的服务提供商有足够的时间开发有效的补丁或修复程序并提供给客户。举个正面的例子,Drupalgeddon是一个针对免费和开源Drupal内容管理框架的SQL注入漏洞。2018年,一名研究人员发现了该漏洞的两个类似的高危变体,即Drupalgeddon2和3。他负责任地私下将漏洞告知服务提供商,让他们有时间在漏洞利用细节公开之前开发和发布补丁。补丁发布后,研究人员于2018年4月12日至25日发布了该漏洞的详细信息。下图展示了该漏洞的威胁趋势。可以看出,利用该漏洞的威胁在2018年4月和2018年5月激增,但随后迅速消退直至平息。主要原因是及时修补过程减少了可用目标的数量。.在2018年4月和5月发生了数千次攻击之后,Drupalgeddon2和3的威胁迅速消退。(来源:Ixia《2019安全报告》)守护共同利益为了促进信息共享,全球互联网上涌现出各种“开放”的IT专业社区。很多知名的开放社区都是零门槛的,可以想象其中肯定潜伏着黑客,这也是为什么黑客活动会在漏洞公开后的几天或几周内激增的原因。对于服务提供商而言,一种更安全的方法是形成具有严格准入系统的封闭社区,所有潜在成员都经过审查。其他可信方法包括漏洞赏金计划、可信公共测试、国家漏洞数据库等。相互信任的平台机制可以成为赢得时间、降低风险和防止下一波攻击的好方法。发布漏洞的具体时间我国对网络安全漏洞和网络安全威胁信息的发布有明确的时限(目前正处于征求意见阶段)。结合工信部2019年6月18日发布的?和国家互联网信息办公室2019年12月19日发布的《网络安全威胁信息发布管理办法(征求意见稿)》,我们可以梳理出一个从漏洞发现、漏洞修复的标准时间线到漏洞公告:
