不堅持負責任的披露，就有可能放大某些漏洞或事件的威脅。

作為了解深網與暗網情報的公司，每天都會看到很多東西，從被盜數據和內部人聘用，到新興網絡與物理威脅，應有盡有。這些觀察所得也意味著，威脅情報公司往往會比企業更早知道他們的安全漏洞、現有威脅和關鍵事件。

雖然此類場景在威脅情報廠商之間越來越普遍，整個行業還是得標準化后續過程并實行一些行動綱領。比如說，如果你發現某公司對自己感染了危險惡意軟件毫不知情，你該怎么辦？你發覺某公司可能在不遠的將來發現自己遭受了大規模數據泄露，你該怎么辦？或者，你發現某公司有個零日漏洞可能危及它整個終端用戶基礎，你報是不報？

雖然通過媒體過其他營銷渠道，立即向公眾披露此類發現挺具誘惑力的（也就是所謂的完全披露），但這么做也有可能激化攻擊受害者及其相關網絡的情況。后果會很嚴重。這也是為什么威脅情報廠商是時候規范自身，認清負責任披露重要性的原因了。

慎重透露安全問題

首先，不堅持負責任的披露，就有可能放大某些漏洞或事件的威脅。如果不給受影響公司足夠的時間處理，就公開曝光零日漏洞，你同時也將漏洞泄露給了網絡罪犯，使他們能在補丁放出前利用漏洞。鑒于補丁不總能即時發布，關于漏洞的信息不露給潛在濫用者知道，就顯得更加重要了。

即使某些情況下，漏洞信息已落入壞人之手，公開該信息依然是有害的。比如說，如果你看到精英暗網論壇上，一小撮網絡罪犯正討論利用某流行手機銀行App的漏洞。假設利用該漏洞可繞過該App的反欺詐措施，令其整個終端用戶基礎都極易被詐騙。雖然該漏洞的知識僅限于一小撮精英黑客知曉，公開披露漏洞也會大幅增加能夠利用該漏洞牟利的人數，讓終端用戶群更易被騙。這種行為，在該漏洞影響公司關鍵系統、敏感信息和更廣泛的利益相關者網絡時，更具破壞性。

讓受害者蒙羞的后果

除了不遵從負責任披露的安全暗示，此類實踐還方便了對受害者進行羞辱——大量負面消息廣泛傳播。首先，這可謂受影響公司的公關噩夢。大量負面報道和無數問詢，意味著公司要花費寶貴的時間和資源，來驅散恐懼，回應媒體、客戶、股東、利益相關者和其他人士——大多沒有明確的答案。很多案例中，不良公關還會擴大威脅、事件或漏洞的影響，令大眾過度反應，漣漪效應更加擴大，耗去公司更多時間和資源。

對披露公司敏感信息導致非必要公眾抗議和受害者羞辱的廠商而言，后果可能是慘烈的。無論情況是否就是這樣，參與到此類實踐中的廠商，看起來就是將傷害另一品牌聲譽，作為自己獲得媒體報道、賺取業界辨識度、建立自己聲名的途徑。威脅情報廠商通常壓力山大，常面臨第一個披露“突發新聞”和發現重大信息的競爭。盡管公開披露某些漏洞及受影響公司或許有所收益，但必須認識到：潛在負面后果可能既沒有生產力，又于業界謀求的安全文化無益。

情報披露

盡管安全研究人員一直都是負責任披露的主要支持者，但是通行實踐和協議才剛剛開始獲得情報廠商的重視。在Flashpoint，雖然根據漏洞或事件的嚴重性和本質，處理方法會有不同，立即通知受影響企業一直是該廠商的首要之務。他們與企業合作，確保漏洞被修復，威脅被緩解；而且，很多案例中，可以在不公開受影響企業的情況下就做到這一點。

很多時候，負責任披露意味著公布圍繞事件的關鍵事實——也就是其他人保護自身需要知道的東西，而又不透露所有非必要細節。比如說，可以披露美國西海岸某大型醫療保健企業遭勒索軟件攻擊，公布該威脅的攻擊指標，以及其他公司可以做什么來防止陷入類似災難。

有些情況下，安全團隊感覺捏著信息會大幅增加他人的風險，但不會惡化威脅時，公開披露是可以的。但是，要以一種有所助益的方式披露，回答所有問題，準確解釋威脅，列出受影響者可以采取的行動。這種類型的披露，通過合理知會公眾的形式，最終會節省受影響公司的大量時間和資源。威脅情報廠商的職責，就是幫助客戶和公眾保護自己，緩解威脅，而不是將他們暴露于更危險的境地。