美國白宮于本周三發布一份章程,表示將為安全漏洞公平裁決程序(Vulnerabilities Equities Process,VEP)帶來更理想的明確性與透明度。
VEP為美國政府在向技術企業隱瞞或披露軟件中所發現的安全漏洞時,所采取的相關信息管理機制。
章程旨在為VEP引入更多透明度與規則這份章程列出了美國政府在決定是否秘密保留零日漏洞這類特定安全漏洞相關信息時,所應考慮到的核心影響因素——包括利用其進行秘密間諜活動,或決定向相關軟件開發商公開以確保軟件得到補丁修復。
該章程指出,“安全漏洞管理需要得到高度重視,從而保護民眾、捍衛關鍵信息基礎設施并維護重要的商業與國家安全利益。新的VEP章程將以一種可重復且可討論的方式平衡相關利益,確保我們在執行這一重要任務時,加強美國民眾對政府問題解決能力的信心。”
推薦立法盡管本章程旨在為VEP引入更多透明度與規則性,但至少已經有一位國會批評人士表示,有必要將這一進程納入立法范疇。
威斯康星州共和黨人Ron Johnson(羅恩·約翰遜)議員采訪時表示,“這方面工作一直在行政層面進行處理,但我認為將其納入法規將更有幫助。”在今年5月,Johnson曾與夏威夷州民主黨人Brian Schatz(布萊恩·沙茨)議員一同提出PATCH法案,希望為VEP提供法律基礎。
VEP公平裁決程序詳細說明白宮網絡安全協調員Rob Joyce(羅伯·喬伊斯)在本周三在阿斯本研究院召開的一輪會議中,對特朗普自今年1月就任美國總統以來該公平裁決程序的發展情況作出了更為深入的說明。Joyce指出,這份耗時數月敲定的章程在草擬過程中經過了“復雜的對話”。Joyce解釋稱,在此之前,機構之間的討論信息“被剝奪了行政權利”,即“關于進入決策流程的具體細節”并沒有被提供給需要的各討論參與方。
例外要求這份章程還將涵蓋政府方面從私營部門雇用黑客人士以解決零日漏洞的問題。Joyce解釋稱,“他們也將加入VEP中。”當各政府機構以“非排他性”方式購買這些零日漏洞信息時,意味著其需要遵循合同條款而不能合法地進行信息披露——“需要告知每位VEP成員這一例外要求……并將所有細節信息提供給白宮網絡安全協調員。”
Joyce指出,“這樣我們將得到一套在現有系統中從未出現過的框架與一系列洞察結論”,意味著各政府機構將能夠直接表達無法披露安全漏洞信息的具體原因。他補充稱,在這份新章程內,“不鼓勵各部門與機構使用此類合同,而應實現與各商業實體間合作關系的結構化轉型,以例在購買相關信息后,根據實際需求選擇是否進行披露。”
外交公布問題這份新章程還考慮到了“外交公布”問題,其中主要涵蓋國外產品中的安全漏洞,以及聯合情報機構可能對美國政府所披露的安全漏洞信息的使用。
“如果我們此前曾與其它國家分享相關情報,并最終選擇披露這一情報,則其最終可能對我們自身的情報能力產生影響。”他強調稱,美國目前正在與其最親密的合作盟友——五眼聯盟——進行情報共享,而此次的改革進程也應被引入五眼聯盟體系,從而推廣其在國際關系中的影響力。
VEP需要考慮的四項因素作為提升透明度舉措的組成部分,該章程還列出了VEP在討論當中需要考慮的四項因素:
威脅因素:例如漏洞產品的具體使用廣泛度,以及是否存在于關鍵行業或企業當中。
影響力因素:例如用戶對產品安全性的依賴程度,安全漏洞的嚴重程度以及不良行為者對其加以利用可能引發的后果等。另一個問題在于,是否存在足夠的已安裝補丁用戶,用以抵消攻擊者利用相關安全漏洞所造成的危害——這類危害通常可通過對修復補丁進行逆向工程實現。
緩解因素:例如是否有方法通過配置消除軟件漏洞——特別是如果此類機制已經成為現有最佳實踐指導方針中的一部分。其中包括考慮開發商是否有可能對安全漏洞進行實際修復。
安全漏洞因素:例如“威脅行為者必須具備怎樣的訪問權才能使用此項漏洞?”以及“威脅行為者發現或獲取漏洞知識的可能性有多大?”
重新發現率最后一點涉及到網絡安全領域的一場巨大爭論,即重新發現——是指其他人發現并秘密保留此類漏洞的可能性。重新發現狀況非常重要,因為如果美國政府沒有公布漏洞信息,其可能無法得到有效修復,并最終被其他獨立發現者所利用。不同的研究對重新發現率有著不同的結論,但Joyce表示,根據美國情報部門的調查,這一比例其實很低,他認為所使用的各類安全漏洞……很少被他人所重新發現。
VEP裁決程序參與機構
根據此項章程,以下15個聯邦政府實體在VEP中擁有席位:
國土安全部(DHS),特別是國家網絡安全與通信集成中心
美國聯邦特勤局(USSS)
國家情報總監辦公室(ODNI)
財政部(DOT)
國務院(DOS)
司法部(DOJ)
聯邦調查局國家網絡調查聯合特遣隊(NCIJTF)
能源部(DOE)
白宮行政管理和預算辦公室(OMB)
國防部(DOD),特別是美國網絡司令部(USCYBERCOM)與網絡犯罪中心(C3)
國家安全局(NSA)
商務部(DOC)
中央情報局(CIA)
Joyce表示,面對以上各項因素要求,各參與方可能“有些不高興”,但“給予擔當”是非常必要的,因為當前社會中的各個層面都已經“與IT交織在了一起”。他解釋稱,美國政府運行在IT基礎上,利用計算機支持軍事行動,并且信任銀行業、相信由計算機控制的電網體系。如果存在缺陷,就必須修復相關漏洞,以確保其免受利用、保障自身福祉以及財務狀況。另一方面,美國還需要借此獲取國外情報。”
過去幾個月以來,該漏洞公平裁決程序VEP受到了信息安全社區中批評人士的指責,其表示美國政府為了保留戰略情報優勢而囤積零日漏洞,且沒有向各企業提醒這些安全漏洞的存在。Joyce對這種作法予以駁斥,表示所謂囤積概念“并不存在”,美國政府與各軟件企業之間的溝通“非常良好”。各軟件企業也沒有得到來自俄羅斯、中國、伊朗以及朝鮮的安全漏洞信息提醒。
VEP雖然有效、務實,但仍存在問題1. 受保密協議等的限制VEP指出,美國政府決定披露或限制漏洞信息可能受制于外國或私有部門合伙伙伴提出的限制條件,例如保密協議(Non-disclosure agreement,簡稱NDA)、理解備忘錄或其它限制美國政府披露漏洞信息的限制條件。
雖然可能存在法律或其它限制條件,但此項規定潛在允許組織機構通過NDA阻止披露,企圖出售安全漏洞細節。
2. 缺乏漏洞風險評級軟件漏洞通常會根據潛在危險性進行評級。例如,微軟設置了4個風險等級:低危(Low)、中危(Moderate)、重要(Important)和嚴重(Critical)。
這對系統管理員而言大有裨益,這樣便于他們按照輕重緩急進行處理。評級系統還有助于評估披露的漏洞細節和數量。比如,100個低危漏洞不及一個嚴重漏洞更值得重視,因為嚴重漏洞帶來的風險更大。
然而,VEP政策中卻未提及漏洞評級。這樣一來,其它人將必須評估漏洞的嚴重程度,似乎造成了不必要的延遲。缺乏風險評級將難以評估VEP政策的實際效果:NSA可能會公開披露999個低危和中危漏洞,但卻手握5個嚴重的漏洞而不披露。
然而,若設置了風險評級,就能將美國政府披露的漏洞與商業實體進行對比,能大致推測美國政府未披露的0Day漏洞數量。據推測,這或許也是美國政府未在VEP政策設置風險評級的原因所在。
3. NSA享受特別待遇作為VEP執行秘書處,NSA將負責協調所有事宜,包括控制影響內部設備的事宜。
VEP指出,盡快將在政府現成設備或系統(NSA認可)、硬/軟件加密功能(無論NSA認可或批準與否)中發現的漏洞報告給NSA。NSA將承擔起相關責任,并以VEP執行秘書處的身份正式提交。
然而,NSA并不能完全控制這個過程。NSA員工將負責運營VEP執行秘書處,但是會受美國國防部長的指示和控制。從理論上講,國防部長能在NSA負責人許可的情況下,替換NSA員工,指定其它機構執行這項工作。
4. 多個備選項會留下“鉆空子”的余地即使披露漏洞是作為默認方案提出來的,但VEP提供了除公開披露以外的大量其它選擇。
這項政策提出,美國政府決定披露或保留漏洞只是VEP的其中一個要素,但卻不只有這兩種做法可供選擇。可考慮的其它做法包括:
向某些實體披露漏洞緩解信息,而不披露特定漏洞;
限制美國政府以某種方式使用漏洞;
通過保密的方式向美國及盟國政府報告漏洞;
以及通過間接的方式向廠商通知漏洞。
VEP還指出,做所有這些決定都必須理解漏洞披露風險,考慮政府使用漏洞的潛在利益,并權衡所有選擇的風險和利益。然而,對于NSA工作人員而言,這里存在著很大的回旋余地。
政策的好壞要靠實際施行情況來判斷。修訂版的VEP仍讓NSA全權負責,要求美國政府實現文化轉型,而不是囤積安全漏洞。
至于文化轉型,我們還得拭目以待。影子經紀人(Shadow Brokers)竊取并公開NSA網絡武器的做法無疑讓NSA陷入深思,但是,文化轉型一般經歷很長的維持期和過渡期。
京公網安備 11010502049343號