安全內參8月30日消息,美國網絡安全和基礎設施安全局(CISA)發布報告稱,漏洞披露共享服務已幫助參與的聯邦機構發現并解決了1000多個可能被黑客利用的漏洞。
漏洞披露計劃
投入小效益大
CISA在2021年7月推出了漏洞披露政策(VDP)平臺。日前,CISA發布有關漏洞披露政策平臺的首份報告。報告數據顯示,迄今為止,平臺已有40多項機構漏洞披露計劃。
截至2022年12月,研究人員向平臺上報了1300多個“已驗證”漏洞。相關機構已修復了84%的上報漏洞,平均修復時間為38天。
在這份報告中,CISA“敦促聯邦民事行政部門(FCEB)審查漏洞披露政策平臺2022年度報告,鼓勵他們開始使用該平臺,促進善意的安全研究。該平臺會向安全研究人員的公共社區,推廣各機構的漏洞披露政策,利用研究人員的專業知識來搜索和檢測傳統掃描技術可能無法發現的漏洞,從而使用戶受益。”
CISA在2020年9月發布了一項具有約束力的操作指令,要求機構制定并發布漏洞披露政策,允許對所有可通過互聯網訪問的系統或服務進行善意的安全研究。CISA還指示機構建立接受報告、傳達發現、修復漏洞的渠道。
此前,CISA發現許多機構缺乏漏洞披露的正式機制,為此建立了共享的漏洞披露政策平臺服務。該平臺由安全眾測廠商Bugcrowd和聯邦技術供應商EnDyna支持。
CISA報告稱,在1300多個被確認為有效披露的漏洞中,有192個是最危險的“關鍵”漏洞,82個是“嚴重”漏洞,757個是“中等”漏洞,299個是“低級/信息性”漏洞。
CISA在其報告中認為,漏洞披露政策平臺幫助機構“顯著節約了成本和時間”。IBM和Ponemon研究所研究發現,2022年數據泄露的平均成本為435萬美元。
CISA寫道:“無論是否被發現,這些漏洞都存在于聯邦民事行政部門的系統中。通過漏洞披露政策平臺披露、由機構修復的漏洞越多,正面影響就越大。”
在CISA漏洞披露政策平臺下,機構可以自愿選擇是否提供漏洞賞金,即專門向研究人員支付漏洞發現費用。CISA報告稱,作為一種經濟報酬,漏洞賞金“意在吸引頂尖研究人員”。
強制漏洞披露已成為最佳實踐
美國國土安全部推出了“黑掉國土安全部”漏洞賞金計劃,鼓勵研究人員檢測13個國土安全部系統是否存在漏洞。迄今為止,研究人員發現了235個漏洞,包括40個“關鍵”漏洞。為此,國土安全部向這些研究人員支付了高達329900美元的賞金。
2021年底,當開源軟件Log4j漏洞席卷全球時,國土安全部啟動了一個單獨的漏洞賞金計劃,鼓勵查找該部門網絡中任何關鍵漏洞實例。CISA在其報告中稱,Log4j的例子展示了“漏洞披露政策平臺的靈活性”,同時“為其他機構應對未來的普遍漏洞鋪平了道路”。
漏洞披露政策平臺是CISA網絡安全共享服務辦公室向聯邦機構提供的第一項服務。CISA預測,當2024財年結束時,自愿采用其網絡安全共享服務的機構數量將“大幅增加”。
美國共和黨眾議員,眾議院監督與問責委員會網絡安全、信息技術和政府創新分委員會主席Nancy Mace提出立法,要求聯邦承包商也采用與聯邦機構一致的漏洞披露政策,推動CISA的漏洞披露政策平臺應用取得進展。
Nancy Mace在一份聲明中說:“通過強制要求聯邦承包商制定漏洞披露政策,我們可以確保采取積極的網絡安全方法,使承包商能夠及時識別和解決軟件漏洞。”
漏洞披露越來越被視為網絡安全最佳實踐。2020年,美國管理與預算辦公室制定了一項針對所有政府機構的政策,確保道德黑客可以報告面向公共系統的漏洞,而不必擔心報復,并保證機構有能力解決這些漏洞。
前美國聯邦首席信息安全官Grant Schneider說,“漏洞披露政策計劃的成本相當低。我認為,它比其他許多可以投入網絡安全預算的項目更具成本效益。”
2016年,美國國防部推出了名為“黑掉五角大樓”的重大漏洞賞金計劃,成為第一個采用漏洞披露的機構。國防部已開展自愿試點項目,將部分國防承包商也納入其漏洞披露計劃。
FreeBuf
關鍵基礎設施安全應急響應中心
FreeBuf
安全圈
安全圈
D1Net
一顆小胡椒
安全圈
安全圈
HACK之道
信安之路
商密君
