《歐盟協調漏洞披露政策》
2022年4月13日,歐洲網絡及信息安全局發布《歐盟協調漏洞披露政策》(Coordinated Vulnerability Disclosure Policies in the EU)報告,報告稱,目前漏洞披露已成為致力于加強歐盟網絡安全彈性的網絡安全專家關注的焦點,報告全面概述歐盟成員國和美國、日本、中國在協調漏洞披露的現狀和主要措施,概述歐盟在實施CVD政策時面臨的各種挑戰并提出了具體建議。
報告主要包含4個章節內容。
第一章節
歐盟協調漏洞披露政策現狀
目前歐盟各成員國在制定以及執行CVD政策方面的進展不盡相同,目前的情況是比利時、荷蘭、法國等4個國家已經制定了國家層面的CVD政策,捷克、意大利、西班牙等10個國家還在政策制定過程中,丹麥、德國等4個國家正在制定的初始階段,而波蘭、瑞典等9個國家則尚無這方面的打算。從CVD制定進展情況來看,西歐國家相對于其他歐洲區域更加成熟,南歐國家以及中歐和東歐國家在這一進程中卻落在后面。其中,荷蘭、比利時、立陶宛是歐盟各成員國中建立了最有效CVD國家,荷蘭最重要的成功因素是采用自下而上的方法來建立目前的CVD。這一過程始于該國的主要銀行和互聯網服務提供商,他們感到迫切需要在尋找漏洞時接納合乎道德準則的黑客。立陶宛國家網絡安全中心制定的CVD可作為起草歐盟一級最佳做法的基礎的程序。比利時則是為研究人員提供全方面的保護。
第二章節
美國、日本、中國的CVD現狀
美國的協調漏洞披露由網絡安全與基礎設施安全局(CISA)負責,主要包括接收、分析、緩解協調、緩解措施的適用以及公開等五個步驟。
· 接收 在收到報告時,CISA進行初步甄別,以確保漏洞的準確性, CISA進行漏洞分析,檢查有關軟件漏洞的公共信息。
· 分析 CISA與供應商合作,通過檢查技術問題和它可能帶來的風險來研究該漏洞。
· 緩解協調 繼續與供應商密切合作,CISA將通過開發緩解(例如補丁或更新)來找到解決問題的方法。
· 緩解措施的適用。受影響的最終用戶必須在公開披露之前測試和應用緩解措施。這種情況發生在這個階段。
· 公開 CISA將通過其通道將該漏洞通知受影響的用戶。必須強調指出,這一階段的特點是中鋼協、受影響的供應商和脆弱性報告的來源之間進行了協調。
隨著網絡威脅的不斷增加和演變, CISA可以幫助確定和實施這一進程中的最佳實踐。
在日本,軟件等產品中漏洞的協調披露是根據“信息安全預警伙伴關系準則”進行的。研究人員的漏洞報告被發送給信息技術促進機構,負責初步分析和分類工作。接著,報告被發送給JPCERT協調中心,負責與產品的供應商/開發人員進行協調。一旦供應商/開發人員解決了該漏洞,將在日本漏洞說明(JVN)上發布咨詢意見,通常與供應商/開發人員的咨詢一起發布。通過這一協調一致的漏洞披露過程,截至2021年3月,在JVN上總共發布了1 875份咨詢意見。自從本指南發布以來,許多供應商/開發人員已經接受了協調的漏洞披露過程。
中國的漏洞評估過程是以信息部門為主導的。在國家漏洞數據庫公布之前,將對高度威脅的漏洞在信息行動中的效用進行評估,并根據這些高威脅漏洞的影響來決定發布時間。報告稱,中國政府正考慮出臺具體規則,規定如何披露漏洞,并要求研究人員在公布漏洞之前向有關部門報告。
第三章節
歐盟協調漏洞披露政策的挑戰
歐盟協調漏洞需要應對來自法律、經濟等方面的挑戰。因此,各國在制定CVD時,需要評估以下方面的挑戰在多大程度上阻止了CVD的制定和實施。
· 法律障礙。安全研究人員面臨著重大的法律風險。
· 利益攸關方之間缺乏合作。
· 政府對漏洞利用的模棱兩可。
· 市場激勵有限。鼓勵安全研究人員參與協調的脆弱性披露方案。
· 財政和人力資源挑戰。缺乏資源和技能,缺乏執行和運作費用。
第四章節
建議措施
對歐盟各成員國的分析得出的主要建議包括:
修訂刑法和網絡犯罪指令,為參與漏洞發現的安全研究人員提供法律保護;
在為安全研究人員建立任何法律保護之前,定義明確區分“道德黑客”和“黑帽”活動的具體標準;
通過國家或歐洲漏洞賞金計劃,或通過促進和開展網絡安全培訓,為安全研究人員制定積極參與 CVD 研究的激勵措施。
除上述內容外,還針對經濟和政治挑戰提出了其他建議:
關于法律挑戰的建議:國家刑法應該對安全研究人員提供免責的可能性,會員國可以修訂其刑法,為參與發現脆弱性的研究人員創造法律確定性和必要的“安全港”,同時也承認道德黑客行為。修訂“網絡犯罪指令”,以便為參與發現脆弱性的安全研究人員提供法律確定性,并允許界定各成員國的共同規則和程序,以便在歐洲建立一個協調的漏洞披露共同程序。
關于經濟挑戰的建議:成員國需要促進旨在鼓勵安全研究人員積極參與CVD制定,并在歐盟一級建立支持,比如成立歐洲委員會自由和開放源碼軟件審計項目予以推動。歐盟必須提供適當的資金支持和方案,使歐盟的CVD政策可行,建立一個非營利和資源充足的國際實體促進跨境協調的實現。
報告最后指出,歐盟應該就如何制定CVD政策、公布各國的最佳做法和挑戰以及公布各國可據以起草其政策的模板,向各國提供明確的指導并發布最佳實踐。此外,ENISA 將需要開發和維護一個歐盟漏洞數據庫這項工作將補充現有的國際漏洞數據庫。
