看看英國GCHQ的漏洞披露策略
責編:gltian |2018-12-03 14:45:4911月30日,英國間諜機構政府通信總部(GCHQ)及其信息安全部門NCSC發布了安全漏洞披露策略,概述了其是如何確定是否將漏洞追捕結果告知廠商的。
NCSC去年向微軟披露了3個漏洞,包括兩個 Windows Defender 關鍵漏洞和一個Edge及IE11瀏覽器腳本引擎遠程代碼執行漏洞。
向微軟報告的這三個漏洞都經過了30號公布的“漏洞公平裁決過程”,該過程由3層決策系統組成,英國政府用以權衡是否向廠商報告其發現的安全漏洞。
但為什么要在這個時候公開這一漏洞披露決策過程呢?GCHQ稱,出于讓公眾放心的目的,英國調查權專員已同意監察該公平裁決過程的實際操作。
這一解釋與當天生效的一項要求不謀而合:使用《調查權法案》“最具侵入性的調查權力”需經過法官的批準。
GCHQ表示,其默認立場是漏洞披露需與國家利益一致。畢竟,GCHQ和NCSC知道自己可能不具備某一漏洞的專門知識。披露漏洞可以讓供應商為政府機構、公司企業和消費者提供能夠保護其計算機的補丁。
是否披露的問題是政府和科技行業間的棘手難題。去年的WannaCry勒索軟件攻擊將這一問題擺到了公眾面前,因為該勒索軟件是依賴美國國家安全局(NSA)泄露的Windows漏洞利用代碼打造的。
面對WannaCry的可怕后果,微軟總裁 Brad Smith 抨擊美國間諜機構“囤積”漏洞危害消費者的行為,呼吁制定新的規則迫使政府向廠商報告漏洞。1個月后,使用同一NSA漏洞利用代碼的NotPetya勒索軟件爆發,給歐洲和美國公司企業帶來了超過10億美元的損失。
GCHQ的公平裁決過程裁定該機構或其下屬機構發現的零日漏洞是否報告給相關方。
3層決策系統包括安全專家、情報機構成員、政府機構代表和由NCSC首席執行官 Ciaran Martin 出任主席的公平監管委員會。NCSC于2016年10月組建,旨在幫助英國公司企業響應網絡攻擊,在公平裁決過程中起到重要作用。
被發現的零日漏洞提交到公平裁決技術專家組,如果專家組內情報機構和NCSC成員一致認為該漏洞應披露,該漏洞就會被報告給廠商。
如果專家組不能達成一致,問題會被提交到由政府機構代表組成的公平裁決理事會,在Martin的代理人主導下進行裁決。如果理事會還不能達成一致,問題就上交給Martin親自執掌的公平裁決監管委員會。委員會的作用就是確保公平裁決過程按照指定的程序恰當運行。
GCHQ稱,所有保留的漏洞至少每12個月會審查一次。
但也有漏洞沒有經過該公平裁決過程審議。GCHQ沒有提供任何硬性規定,但指出3種情況下會出現這一現象:
1)合作政府已確認漏洞并與GCHQ共享了該信息;
2)產品已不再提供支持;
3)產品從設計上就是脆弱的,產品中存在顯而易見的脆弱配置。
NCSC技術總監稱,認為所有漏洞都要披露的想法非常天真,NCSC與情報機構參與到公平裁決過程中能起到更好的國家安全保護左右。
英國的漏洞公平裁決過程每一步都偏向于披露漏洞,但披露漏洞并不能實質上改變從根本上就不安全產品的安全狀況。所以,有時候漏洞發現會被用于與相關公司展開更戰略性的對話,幫助他們提升其產品的整體安全性。