美國國家安全局(NSA)公布了有關其漏洞披露政策的一些統計數據以及指導原則,但有專家表示他們沒有公布重要的細節。
網站詳細介紹了NSA的漏洞披露政策,這又引出了這樣一個問題:NSA是否會披露其發現的漏洞?根據NSA表示,這個問題的答案在大部分時候是肯定的,因為負責任的披露“顯然符合國家利益”。但NSA也聲稱,披露的決策其實非常困難和復雜。
“對于披露漏洞的決定,既有優點又有缺點,并且,在及時披露和在有限時間內不公布某些漏洞之間的權衡會帶來顯著的后果,”NSA寫道,“披露漏洞可能意味著我們放棄了機會去收集重要外國情報,而這些情報可能幫助我們阻止恐怖襲擊,防止國家知識財產被盜竊,或者發現被用來攻擊我們網絡的更危險的漏洞。”
曾在美國國防部和NSA任職、現任Pulse Secure公司戰略高級副總裁David Goldschlag表示,在這件事情上,他贊同NSA的做法。
“雖然我認為應該完全披露漏洞讓供應商可以解決這些問題,但我們需要知道的是,NSA具有雙重使命:收集信息和保護信息,”Goldschlag表示,“有時候,這兩個使命會有所沖突,所以NSA需要制定政策使其能夠完成工作。”NSA稱,從歷史上來看,在91%的情況下,他們發現的漏洞會經過該機構的內部審核程序,并披露給供應商。在其余的9%的情況中,漏洞在NSA披露之前就已經被供應商修復,或者出于國家安全原因而沒有披露。
專家指出,這一解釋并沒有透露NSA已經披露的具體漏洞數量、披露的時限或者所披露的漏洞的嚴重程度,所以我們沒有辦法知道是否有披露零日漏洞。
然而,Rook Security公司安全運營負責人Tom Gorup表示,NSA公布的百分比數據提出了更多問題,而不是回答問題。
“我們不知道NSA正在應對的漏洞數量或者所涵蓋的時間段,這是5年、10年還是20年的數量?我們談論的是1000、10000還是100000個漏洞?”Gorup問道,“如果沒有原始數據,不可能確定披露的時間(TTD),并且最終的指標也會受到影響。我希望看到TTD指標,披露漏洞的原始數量以及這個指標涵蓋哪個時間段。”
Gorup表示,對于私營行業而言,漏洞存在幾個月或者幾年可能帶來巨大的風險,因此我們應該要求NSA提供更多的透明度。
“我完全理解收集情報的需要,因為這有利于國家安全,”Gorup表示,“我們需要相信我們的政府會做出正確的決定,但我們也必須對基本的過程有某種驗證和了解。我們很難相信其他人沒有或不會發現未披露的漏洞。”