精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

 今年的WannaCry勒索軟件攻擊以及Equifax公司經歷的大規模數據泄露事件再一次給我們敲響警鐘，同時也強調了威脅信息共享、安全研究協作以及開源安全工具發展的重要意義。然而，在安全專業人員之間傳遞威脅信息以指導防御工作本身也會帶來一定的固有風險，即此類資訊很可能被惡意攻擊者用于實施入侵活動。

根據分析企業Gartner公司發布的《2017年威脅前景狀態報告》，到2020年，99%的安全漏洞利用行為都將被安全及IT專家們所知曉。事實上，Equifax公司經歷的數據泄露事件即是如此——攻擊者們所利用安全漏洞存在于Apache Struts 這一被各類企業所廣泛采用的Web應用軟件當中。Apache軟件基金會已經于今年3月發布了相關修復補丁，并在超過2個月的時間內發布通告以提醒用戶采取預防措施，從而盡量降低相關風險。

那么，安全研究人員可以采取哪些步驟來降低其發現及概念驗證代碼遭到濫用的可能性？

作為日常工作的重要組成部分，安全研究人員經常會破解計算機、網絡或者軟件系統的防御機制，從而證明特定攻擊手段具備可行性；此外，他們還需要在惡意攻擊者實際利用漏洞之前找到響應的補救方法。但在發布研究發現及相關利用方式的過程中，研究人員們也面臨著其代碼成果被網絡犯罪分子用于創建新型漏洞或者惡意工具的風險。

為了盡可能降低研究成果遭到濫用的風險，安全研究業界一直采取以下兩種主要披露模式：

一種是完全披露模式。安全研究人員會盡早公布所發現的漏洞詳細信息，并以不加任何限制的方式將信息公開傳播，例如公開發布（包括用于概念驗證的漏洞利用方法）于在線論壇或者網站上。完全披露方法的支持者們認為，以往未知漏洞的潛在受害者們應當與利用這些漏洞的攻擊者們掌握相同的威脅信息。

另一種方案則為負責任披露。大多數ISV社區、CERT（計算機安全應急響應組）以及SANS研究機構也較支持這種方法。其采取協調立場，由安全研究人員向供應商提交漏洞咨詢報告，此報告采用屏幕截圖或代碼片段以證明漏洞位置，同時提供證據以及可重現的概念驗證成果以協助進行測試。在通過最安全的途徑（例如加密電子郵件）將報告提交給供應商之后，研究人員通常會為供應商設定合理的時間周期以進行漏洞調查與修復。一旦補丁發布或者披露時限已到，研究人員即可將其發現及分析結果公之于眾。

在這樣的背景下，CERT給出的建議是不要披露漏洞本身，因為能夠從漏洞信息當中獲取收益的群體可能會利用這些資訊對其他人群造成危害。

負責任披露方法的目標則在于平衡公眾需求，將安全漏洞通知給廠商并為其提供充足的時間以作出有效響應。雖然目前還不存在所謂“合理披露時間”之類的共識，但大多數安全研究人員都遵循著CERT提供 的45天等待周期原則。

鑒于軟件領域每周甚至每天都會曝出大量嚴重安全漏洞，因此最終用戶社區的命運明顯取決于安全研究人員是否愿意為自己的行為負責——只有負責的安全人員才能確保其發現被更多地用于限制惡意活動。

供應商社區越來越多地組織bug賞金項目，而最終用戶機構則進行更多滲透測試，從而協助在安全漏洞被公開之前將其發現。

然而，發現漏洞只是整個流程的一半，將其解決又是另一項重大挑戰。正因為如此，Gartner公司才強調稱“改善安全性水平的最具效力的企業行為，正是切實有效的補丁安裝。”