网络安全防护建设 漏洞披露究竟要怎么做?--网盾宝
网络安全防护建设 漏洞披露究竟要怎么做?--网盾宝
关 注 行 业 动 态 助 力 企 业 发 展
当前位置:
资讯详情
网络安全防护建设 漏洞披露究竟要怎么做?
2016-12-28 10:15:40
大家都知道的,今年关于乌云的一个悲伤的故事。
那么,对于安全研究者发现一个软件产品漏洞后,最好的漏洞披露方式是什么?软件供应商又应该如何接收和响应漏洞披露?
这些相关问题引发热议,
这类问题的解答正凸显关切和重要,因为伴随着信息软件商品的涌现,随之而来就是接踵而来的各种网络安全漏洞。而在实际中,作为事件相关方,处理类似问题,或许需要更多的支撑数据和参考观点。
全部资讯
行业资讯
安全百科
企业动态
勒索软件那些你不知道的事
关于网络安全 您要关注《瓦森纳协定》
在线咨询
套餐购买
智能安全云引擎
安全运维
网站渗透测试
抗DDos攻击
金融安全解决方案
政府安全解决方案
公司简介
对此,我们来看看美国相关部门是怎么看的。在美国国家电信与信息管理局(NTIA)的发起下,就“多方利益”相关的漏洞披露处理态度和方法,对一些安全研究者和技术运营商开展了调查。
就目前而言,这项调查非常及时和重要,虽然漏洞披露不再是一个新话题,但是一些推荐性的漏洞处理方法还相对较少;另外,作为漏洞事件双方,安全研究者和技术运营提供商由于缺乏相互了解,不断导致冲突增多的现状。共有285位技术运营提供商代表和414位代表接受调查。
下面是一部分主要调查结果:
安全研究者调查
1、绝大多数安全研究者(92%)都参与过某种形式的协调性漏洞披露活动;
2、安全研究者选择公开的漏洞披露方式,主要原因在于对漏洞披露方式的失望,大多围绕与技术运营商的沟通问题;
3、60%的安全研究者表示,出于对法律诉讼的担心,他们不会选择直接把漏洞披露给技术运营商;
4、15%的安全研究者希望通过漏洞披露得到赏金,而70%希望与技术运营商定期就漏洞问题沟通。
技术运营商调查
接受调查的技术运营商可以分为”更成熟“和”不够成熟“两种,其“更成熟”的占比达60%至80%。大多数”更成熟“的运营商(76%)都想建立自己的漏洞处理机制,只有一小部分持观望态度,或寄希望于一些国际指导标准。”更成熟“的运营商认为,出于企业责任感和对客户负责的态度,希望制订漏洞披露政策。另外33%的运营商则认为,漏洞处理机制应该是服务供应商的事。
漏洞披露处理的意义
随着物联网和生活中各式各样网络安全威胁的兴起,我们看到了前所未有的技术复杂度和连接性,在安全研究者和技术运营商之间,建立对漏洞的有效披露处理机制已经变得尤为关键。
目前,我们已经可以看到了一些漏洞披露方面的显著进步和变化,如《数字千年法案》对安全研究的豁免、美国食药监局(FDA)对医疗设备的售后网络安全问题指导、美国国家公路交通安全管理局(NHTSA)对漏洞披露指导的建议,以及国防、航空、汽车、医疗等行业开展的漏洞披露和处理项目,这些都是关于漏洞披露被越显重视的典型事例,都是漏洞披露和处理机制的最佳实践探索。
调查数据体现了这样的信息:大多数受访者表示他们认同漏洞协调处理带来的好处,特别是,很多安全研究者和成熟的技术运营商愿意投入更多时间和资源来做这件事。
然而,仍然还有一些观念和交流挑战存在于安全研究者和运营商之间,最大的部分来自于,60%的安全研究者对运营商采取法律诉讼的担心,针对这些存在的问题,报告中建议:
应该鼓励更多的协调机制,来加强安全研究者和运营商之间的交流,而不是简单直接向公众公开披露。为保护安全研究者,应该从法律层面消除障碍,或通过法律或漏洞披露策略明确责任权利。成熟和不成熟的运营商都应该认真积极学习相关的国际标准,如ISO系列,其中就描述了软件开发生命周期内实施漏洞处理机制带来的成本节约好处。
上一篇:
下一篇:
网盾宝,让互联网世界更安全
ARE YOU READY?
产品服务
解决方案
关于我们
帮助中心
扫一扫 关注我们
业务咨询、商务合作
3217416518
技术支持邮箱
tech@wangdunbao.com
友情链接:
新四板
Copyright @ 2012-2015 闽ICP备15003670号-1 厦门融数科创信息技术服务有限公司旗下-网盾宝
0592-5951658