压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

11月30日，英國間諜機(jī)構(gòu)政府通信總部(GCHQ)及其信息安全部門NCSC發(fā)布了安全漏洞披露策略，概述了其是如何確定是否將漏洞追捕結(jié)果告知廠商的。

NCSC去年向微軟披露了3個漏洞，包括兩個 Windows Defender 關(guān)鍵漏洞和一個Edge及IE11瀏覽器腳本引擎遠(yuǎn)程代碼執(zhí)行漏洞。

向微軟報告的這三個漏洞都經(jīng)過了30號公布的“漏洞公平裁決過程”，該過程由3層決策系統(tǒng)組成，英國政府用以權(quán)衡是否向廠商報告其發(fā)現(xiàn)的安全漏洞。

但為什么要在這個時候公開這一漏洞披露決策過程呢？GCHQ稱，出于讓公眾放心的目的，英國調(diào)查權(quán)專員已同意監(jiān)察該公平裁決過程的實際操作。

這一解釋與當(dāng)天生效的一項要求不謀而合：使用《調(diào)查權(quán)法案》“最具侵入性的調(diào)查權(quán)力”需經(jīng)過法官的批準(zhǔn)。

GCHQ表示，其默認(rèn)立場是漏洞披露需與國家利益一致。畢竟，GCHQ和NCSC知道自己可能不具備某一漏洞的專門知識。披露漏洞可以讓供應(yīng)商為政府機(jī)構(gòu)、公司企業(yè)和消費(fèi)者提供能夠保護(hù)其計算機(jī)的補(bǔ)丁。

是否披露的問題是政府和科技行業(yè)間的棘手難題。去年的WannaCry勒索軟件攻擊將這一問題擺到了公眾面前，因為該勒索軟件是依賴美國國家安全局(NSA)泄露的Windows漏洞利用代碼打造的。

面對WannaCry的可怕后果，微軟總裁 Brad Smith 抨擊美國間諜機(jī)構(gòu)“囤積”漏洞危害消費(fèi)者的行為，呼吁制定新的規(guī)則迫使政府向廠商報告漏洞。1個月后，使用同一NSA漏洞利用代碼的NotPetya勒索軟件爆發(fā)，給歐洲和美國公司企業(yè)帶來了超過10億美元的損失。

GCHQ的公平裁決過程裁定該機(jī)構(gòu)或其下屬機(jī)構(gòu)發(fā)現(xiàn)的零日漏洞是否報告給相關(guān)方。

3層決策系統(tǒng)包括安全專家、情報機(jī)構(gòu)成員、政府機(jī)構(gòu)代表和由NCSC首席執(zhí)行官 Ciaran Martin 出任主席的公平監(jiān)管委員會。NCSC于2016年10月組建，旨在幫助英國公司企業(yè)響應(yīng)網(wǎng)絡(luò)攻擊，在公平裁決過程中起到重要作用。

被發(fā)現(xiàn)的零日漏洞提交到公平裁決技術(shù)專家組，如果專家組內(nèi)情報機(jī)構(gòu)和NCSC成員一致認(rèn)為該漏洞應(yīng)披露，該漏洞就會被報告給廠商。

如果專家組不能達(dá)成一致，問題會被提交到由政府機(jī)構(gòu)代表組成的公平裁決理事會，在Martin的代理人主導(dǎo)下進(jìn)行裁決。如果理事會還不能達(dá)成一致，問題就上交給Martin親自執(zhí)掌的公平裁決監(jiān)管委員會。委員會的作用就是確保公平裁決過程按照指定的程序恰當(dāng)運(yùn)行。

GCHQ稱，所有保留的漏洞至少每12個月會審查一次。

但也有漏洞沒有經(jīng)過該公平裁決過程審議。GCHQ沒有提供任何硬性規(guī)定，但指出3種情況下會出現(xiàn)這一現(xiàn)象：

1)合作政府已確認(rèn)漏洞并與GCHQ共享了該信息；

2)產(chǎn)品已不再提供支持；

3)產(chǎn)品從設(shè)計上就是脆弱的，產(chǎn)品中存在顯而易見的脆弱配置。

NCSC技術(shù)總監(jiān)稱，認(rèn)為所有漏洞都要披露的想法非常天真，NCSC與情報機(jī)構(gòu)參與到公平裁決過程中能起到更好的國家安全保護(hù)左右。

英國的漏洞公平裁決過程每一步都偏向于披露漏洞，但披露漏洞并不能實質(zhì)上改變從根本上就不安全產(chǎn)品的安全狀況。所以，有時候漏洞發(fā)現(xiàn)會被用于與相關(guān)公司展開更戰(zhàn)略性的對話，幫助他們提升其產(chǎn)品的整體安全性。