當前美國漏洞治理體系面臨的挑戰與應對舉措
責編:gltian |2024-07-16 14:22:57近年來,網絡安全漏洞(以下簡稱“漏洞”)的資源屬性和戰略地位不斷提升,與其相關的戰略、政策和平臺成為各方關注與研究的重點。美國作為信息化和網絡安全領域的先發國家,在網絡安全漏洞的發現收集、驗證評估、修復消控、披露和跟蹤上建立了較完備的治理體系,成為美國網絡安全戰略保障的關鍵環節。拜登政府投入大量資源,優化漏洞資源持續收集和儲備的基礎體系,并完善漏洞收集與發布等管控機制,呈現出漏洞治理的新理念與新動向。當前,在拜登政府加強關鍵基礎設施安全政策的支持下,漏洞治理得到了進一步強化。然而,該領域仍面臨諸多挑戰,包括漏洞大量積壓、處理效率低、共享效果差等問題。梳理美國在漏洞治理方面的歷史沿革,分析其理念轉變及應對舉措,對于強化我國漏洞治理能力具有重要的參考價值。
一、美國漏洞治理體系發展歷程
漏洞主要是指信息系統在設計、實現、運維等各個階段產生的缺陷或脆弱性,對系統的機密性、完整性、可用性產生影響。漏洞是網絡安全事件的主要誘因之一,無論是重大的“零日漏洞”(0day)還是易被利用的“在野漏洞”,都是全球數字化、智能化發展的主要風險源。一旦被惡意利用,就有可能損害信息系統安全,對個人、企業、社會甚至國家造成重大損失。從行業與技術發展角度分析,最早引入漏洞概念時只涉及“補丁治理”而非“漏洞治理”,相關工作僅限于信息通信技術工作領域,并未納入網絡安全工作視野。直到 20 世紀最后十年,隨著 SecurityFocus、PacketStorm 等漏洞庫的出現,行業主導下的漏洞治理才正式開啟。
1999 年,美國聯邦政府根據國家標準與技術研究院(NIST)的建議,創建了“通用漏洞披露”項目(Common Vulnerabilities and Exposures,CVE)。隨后,于 2000 年成立了國家漏洞庫(NVD),并一直運營至今。目前,NVD 不僅擁有豐富且結構規范的漏洞數據,而且在權威性等方面的領先優勢明顯,已發展成為全球安全預警和漏洞發布的重要平臺。經過數十年的發展,美國圍繞 NVD 的建設,在漏洞影響評估、危害處置、風險評估等實踐方面形成了完整的漏洞治理體系(如圖所示)。總體而言,在美國的漏洞治理體系中,產業界、學術界和政府監管部門共同制定相關政策規范漏洞治理,并通過漏洞庫披露漏洞及其危害,確保整個社會能夠及時處理和應對漏洞風險。
圖 美國的漏洞治理體系
總體上,美國在漏洞治理方面積累了豐富經驗。從時間維度看,可將美國的漏洞治理體系發展劃分為三個階段,即基礎構筑期、內部調整期和持續深化期。
(一)基礎構筑期(1999 年到 2013 年)
美國在此階段的漏洞治理政策主要體現在基礎設施和機制建設。在基礎設施建設方面,基于 NVD 建設,美國建立了漏洞挖掘分析、漏洞統一編號、脆弱性測量與評分等運營治理機制。一是不斷完善 CVE 的基準作用。CVE 作為漏洞庫“字典”,主要任務是為 NVD 收集的公開漏洞提供唯一的識別號、描述和相關公共引用。只有經過 CVE 確認的漏洞才會被收錄到 NVD 中。二是發展漏洞風險評分(CVSS)作為“量尺”的作用。CVSS 是通用漏洞評分系統,由安全事件應急小組 FIRST 組織運營和維護,通過制定評價標準對漏洞的嚴重程度進行定量評分,為用戶明確漏洞處置的緊迫性提供參考。三是建立通用漏洞平臺枚舉項作為“通用語言”,主要使用通用機器語言對網絡產品和平臺的名稱、版本進行編碼,應用于 NVD 可幫助用戶明確漏洞所影響的產品和范圍。在機制建設方面,美國政府意圖建立多部門協調處理漏洞的行政機制。2010 年發布的《商業和政府信息技術及工業控制產品或系統漏洞政策及規程》,正式建立了“漏洞公平裁決程序”(Vulnerabilities Equities Process,VEP)。該程序規定了漏洞裁決的通知、決策和上訴流程,開啟了美國多部門協同治理漏洞的進程。
(二)內部調整期(2013 年到 2017 年)
2013 年曝光的斯諾登事件改變了美國漏洞治理的既有進程。美國政府及互聯網企業遭到輿論的嚴重抨擊,同時也面臨法律責任的追究。2014年有關美國國家安全局提前兩年掌握“心臟出血”漏洞并利用其進行情報活動的報道,以及 2017 年“影子經濟人”曝光大批美國情報機構掌握“武器級”漏洞,特別是針對美國情報機構對“永恒之藍”漏洞知情不報的情況,點燃了全球對美國漏洞治理政策的“怒火”。在此背景下,2017 年11 月,特朗普政府啟動了 VEP 改革,并發布了新版《聯邦政府漏洞公平裁決政策和程序》,旨在引入多方利益攸關方,減少情報機構對于漏洞治理程序的主導。
(三)機制深化期(2018 年至今)
拜登政府在漏洞治理政策上表現出明顯的延續性和連貫性。近年來,針對重要政府部門和企業的黑客攻擊事件頻發,以及有關黑客干預特朗普大選結果的相關炒作等,使美國政策界對漏洞治理的共識達到了前所未有的程度。2018 年,美國網絡安全和基礎設施安全局(CISA)的成立是美國漏洞治理的重要轉折點。2021 年 5 月,拜登政府發布了《改善國家網絡安全行政令》,為 CISA 統籌漏洞治理提供了法理基礎。此后,CISA圍繞漏洞治理進行了一系列改革,包括 2021 年 11 月發布《聯邦政府網絡安全事件和漏洞響應手冊》,為聯邦民事行政部門(FCEB)提供了標準,用于識別、協調、補救、恢復和跟蹤影響部門系統、數據與網絡的事件和漏洞。2022 年,CISA 在協同防御、漏洞治理、事件報告和安全演習等方面,對關鍵基礎設施的保護提出了建議指導和強制要求。
二、當前美國漏洞治理體系面臨的突出挑戰
近年來,在信息科技高速發展的時代背景下,信息技術產品供應鏈不斷增長,網絡威脅形勢不斷變化,漏洞利用方式層出不窮,導致當前美國漏洞治理面臨的挑戰愈發凸顯。
(一)漏洞庫處理效率低下,更新時效性不足,明顯滯后于漏洞披露速度
隨著漏洞數量的增多,NVD 漏洞處置時效性不足的問題日益突出。盡管美國對漏洞治理機構、漏洞處置運行機制等方面進行了改進,但收效還不明顯。根據產業界最新觀察,NIST 僅分析了 2024 年迄今為止收到的 14228 個 CVE 中的 4523 個,分析占比不足 32%。此外,自 2024 年 5 月 9 日起,NVD 不再顯示新漏洞,NIST 也公開承認存在漏洞積壓問題。總體來看,NVD 漏洞處理效率低主要涉及以下幾方面的原因:一是“預算問題”,NIST 2024 財年的預算為 14.6 億美元,比上一年減少了近 12%,這嚴重限制了 NIST 在漏洞處理上的投入;二是“承包商問題”,NIST 終止了與亨廷頓英格爾斯工業公司的合同,后續承包商未及時跟上;三是“標準問題”,NIST 正在討論是否更換 NVD 使用的一些漏洞標準而采用新的標準。
(二)漏洞治理理念未與時俱進,專注于應對“零日漏洞”的理念難以適應“在野漏洞”大范圍利用的現狀
“零日漏洞”一直被視為漏洞治理的主要關注對象,甚至將擁有“零日漏洞”的數量作為評價漏洞庫平臺影響的重要依據。然而,近年全球爆發的大規模數據泄露、勒索攻擊以及針對關鍵基礎設施攻擊等事件表明,“在野漏洞”造成的危害越來越明顯。這類漏洞是已被證明利用過的漏洞,且還未跟進補丁或處置操作,其再利用的風險較大。然而,美國長期以來將漏洞治理的重心放在“零日漏洞”上,國家層面應對“在野漏洞”再利用的舉措相對較少,導致這類漏洞引發的安全事件不斷增多。根據 CISA、澳大利亞網絡安全中心(ACSC)、英國國家網絡安全中心(NCSC)和聯邦調查局(FBI)聯合發布的《最常被利用漏洞》報告,“在野漏洞”已成為網絡攻擊的常見載體。
(三)漏洞挖掘能力未及時更新,單純依靠“專家發力”難以匹敵“機器發力”的技術發展形勢
傳統的安全漏洞挖掘方法需要安全研究人員具備豐富的專業知識,而且效率相對較低。研究表明,融合人工智能技術與程序分析能夠實現自動化安全漏洞挖掘,這種結合在提高效率和降低成本方面具有顯著優勢。例如,由 ForAllSecure 開發并得到美國國防高級研究計劃局(DARPA)資助的智能化漏洞挖掘系統 Mayhem,已在美軍中得到廣泛應用,成為其識別自身軟件和系統漏洞的重要工具。隨著人工智能技術加速發展,其在網絡安全漏洞挖掘方面的應用越來越廣泛,許多組織和機構正在將人工智能應用于漏洞治理的各個環節,從漏洞報告的識別與收集、多源異構漏洞數據的分析和處理、漏洞數據的維護和治理到漏洞數據中關鍵字段和信息的補全,以及最終漏洞關系的完善與展示研究,這些都已經表現出成熟的運用。總體而言,美國已開始嘗試將人工智能技術引入漏洞治理進程以提升效能。然而,相較于黑客利用大模型進行漏洞挖掘和提升免殺能力,美國政府仍然側重于“專家發力”而非“機器發力”,新技術對于漏洞治理效能的賦能尚未明顯顯現。
(四)漏洞治理共享水平不高,公私協同治理阻礙重重
一直以來,美國將“共享”與“協調”作為漏洞治理的核心,旨在以多利益攸關方原則為基礎,在政府內部、政府與企業以及國與國之間中建立廣泛的合作與共享關系。為此,美國也制定了一系列的漏洞治理共享政策,但收效甚微。一方面,斯諾登事件的影響仍在持續,像微軟、臉書等公司對于與政府在漏洞治理上的合作仍保持謹慎態度。另一方面,由于漏洞具有武器性以及“曝光即失效”的特點,使得囤積漏洞無論是在商業上還是在安全考量上都具有很大的市場。
三、美國漏洞治理應對舉措及影響評估
針對漏洞治理面臨的一系列問題,拜登政府提出了若干針對性的應對舉措,主要體現在以下方面。
(一)針對漏洞發現難的問題,機制化漏洞披露政策
創建高效的漏洞披露計劃對于減少政府和企業信息的意外泄露以及數據的損壞至關重要。一直以來,由于聯邦層面漏洞披露機制的缺失以及政府部門安全能力的滯后,美國聯邦機構難以及時和全面地發現自身所存在的漏洞。對此,美國政府嘗試利用多利益攸關方的力量推動漏洞披露的機制化。2016 年,美國國防部推出了名為“黑掉五角大樓”的重大漏洞賞金計劃,這是首個漏洞披露行動,但并未立即在美聯邦政府內廣泛推廣。隨著各聯邦政府部門網絡安全事件頻發,美國政府日益意識到構建機制化的漏洞披露政策是解決“發現問題”的關鍵。為此,CISA 在 2020 年 9 月發布了“制定和公開漏洞披露政策”的約束性操作指令(BOD 20-01),要求機構制定并發布漏洞披露政策,允許對所有可通過互聯網訪問的系統或服務進行善意的安全研究。CISA 還指示機構建立接受報告、傳達發現、修復漏洞的渠道。在此基礎上,CISA 在 2021 年 7 月推出了漏洞披露政策(VDP)平臺,一方面作為信息平臺向安全研究人員宣傳各聯邦機構的漏洞披露政策,號召研究人員積極搜索、檢測并提交漏洞;另一方面,敦促聯邦民事行政部門審查各部門的漏洞披露政策平臺,鼓勵善意的安全研究。
VDP 的建立顯著改善了美國聯邦部門“燈下黑”的情況,極大激勵了各部門的漏洞披露熱情。根據 CISA 官方數據,截至 2022 年 12 月,研究人員向平臺上報了 1300 多個“已驗證”漏洞;相關機構已修復了 84%的上報漏洞,平均修復時間為 38 天。作為一項成本效益高的安全舉措,美國各部門的 VDP 有效提升了其網絡安全保障效度。例如,美國國防部網絡犯罪中心(DC3)的 VDP 自成立以來已經處理了 45000 份漏洞報告,成功搭建了美國國防部與全球道德黑客社區間的橋梁。研究人員提交的漏洞報告經過審查和驗證后,可直接提交給聯合部隊總部-國防部信息網絡(JFHQ-DODIN),再由 JFHQ-DODIN 發布應對舉措,形成漏洞發現、驗證和修復的完整閉環。為進一步推進漏洞披露政策的落地,NIST 在 2023 年 5 月發布了《對聯邦漏洞披露指南的建議》(NIST SP 800-216),就建立聯邦統一、靈活的漏洞披露框架提出了指導建議,要求各聯邦部門建立漏洞披露項目辦公室(VDPO),專責協調漏洞披露工作。
(二)針對漏洞重復利用問題,實施易利用漏洞報告制度
針對“在野漏洞”成為網絡攻擊的常見載體,漏洞的可利用性已成為一個重要評價指標。美國已經開始將治理重點轉向易被利用的漏洞。為此,CISA 在 2021 年 11 月發布了“降低已知被利用漏洞的重大風險”的約束性操作指令(BOD 22-01),指出“已被利用過的漏洞是各類惡意網絡參與者常見的攻擊手段”,并建立了已知可利用漏洞(KEV)目錄。該指令要求所有聯邦民事行政部門必須在規定時間范圍內修復目錄中的漏洞,以降低已知被利用漏洞帶來的重大風險。
KEV 目錄運行近三年來,已經成為全球網絡安全組織的一個重要參考工具。截至 2024 年 6 月,KEV 已經收錄了 1000 余個漏洞,并仍在定期添加新條目。KEV 有效提升了美國聯邦政府的網絡安全保障效力。CISA 網絡安全執行助理主任埃里克·戈爾茨坦(Eric Goldstein)在 2023 年 10 月的眾議院聽證會上作證時表示,該目錄對美國政府 100 多個聯邦民用機構的網絡安全產生了明顯影響。在過去兩年中,指導了超過 1200 萬個已知被利用漏洞的補救措施;暴露 45 天或更長時間的可利用漏洞的百分比下降了 72%,聯邦民用機構的攻擊面減少了 79%。
為了進一步發揮 KEV 的作用,CISA 在 2024 年 5 月宣布啟動一項名為“漏洞豐富”(Vulnrichment)的計劃,旨在為 CVE 記錄添加重要信息,幫助組織改善漏洞治理流程。該項目將為公共 CVE 記錄補充通用平臺枚舉項(CPE)、CVSS、通用弱點枚舉(CWE)和 KEV 數據。補充這些信息可以幫助組織優先開展漏洞修復工作、洞察漏洞發展趨勢,并敦促廠商解決漏洞類別問題。豐富漏洞的特征信息將提高漏洞的標注精度,從而有助于提升漏洞治理的效能。
(三)針對漏洞處理效率低,進行機制改革和技術革新
為了減少當前美國漏洞庫面臨的積壓情況,美國政府意圖吸引更多利益攸關方參與漏洞治理工作。2024 年 3 月,NIST 正式宣布將 NVD 的部分治理工作移交給行業聯盟。一方面,聯盟將為 NVD 的運行提供資金支持,以緩解 NIST 因預算削減而面臨的財政壓力;另一方面,幫助 NIST 恢復漏洞收集工作并推動 NVD 的現代化進程。此外,拜登政府期望利用下一代人工智能技術快速識別和修復關鍵軟件的漏洞。因此,在 2023 年 8 月,拜登政府宣布啟動為期兩年的人工智能網絡挑戰賽(AI Cyber Challenge,AIxCC),由 DARPA 牽頭。該競賽旨在利用人工智能技術快速識別和修復關鍵軟件漏洞,以保障美國關鍵軟件的安全。
四、對我國的啟示
美國漏洞治理所面臨的挑戰也是我國加強漏洞治理需要思考的問題。同時,參考和借鑒美國所采取的改進舉措,對我國強化漏洞治理體系,提高能力具有一定的參考作用。
一是高度重視漏洞的重要地位,進一步發揮國家級漏洞庫的基礎性作用。隨著漏洞作為戰略資源的重要性日益凸顯,美國更加重視漏洞在網絡安全中的基礎性作用。2024 年 4 月,來自 Google、OpenSSF 等組織的 50 名網絡安全專業人士組成的團體簽署了一封公開信,并發送給美國商務部長吉娜·雷蒙多(Gina Raimondo),敦促國會對國家漏洞持續存在的問題進行調查,建議國會將國家級漏洞庫視為關鍵基礎設施和基本服務,提供更多資金和國家資源保障。國家級漏洞庫是國家網絡安全能力的重要支柱,我國應進一步建立健全漏洞管理的政策法規,統籌不同國家級漏洞庫的建設,形成合力,提升我國漏洞治理的基礎實力。
二是提升漏洞治理能力,加強對“人工智能+漏洞”的研究與運用。充分利用新一代人工智能技術賦能漏洞治理能力,將人工智能技術引入漏洞治理的全流程,形成智能發現、報告、披露,提升漏洞治理效力。
三是加強產業界與行業主管部門的溝通協調,開展協同治理。在當前日益嚴峻的網絡安全形勢下,必須樹立漏洞協同治理的理念,特別是加強產業界與行業主管部門的溝通與協調。一方面,產業界要充分發揮其技術優勢,及時報告漏洞信息,協助行業主管部門及時分析漏洞風險,以提升我國漏洞治理的精度。另一方面,行業主管部門要積極引導產業界參與,推動我國漏洞治理體系和能力的現代化發展,培育健康的產業生態環境。
(本文刊登于《中國信息安全》雜志2024年第5期)
來源:中國信息安全