关于网络安全 您要关注《瓦森纳协定》--网盾宝
关于网络安全 您要关注《瓦森纳协定》--网盾宝
关 注 行 业 动 态 助 力 企 业 发 展
当前位置:
资讯详情
关于网络安全 您要关注《瓦森纳协定》
2016-12-29 10:33:41
如果你身处网络安全行业,那你一定知道《瓦森纳协定》,它是一个多边出口控制机制,旨在防止武器跨国扩散。该协定目前有41个成员国,包括26个欧盟独立成员国(外加英国)。但欧盟本身未参与其中。早前在维也纳召开的《瓦森纳协定》会议上,美国试图重新修订《瓦森纳协议》,修订后网络安全工具出口将更容易。但奥巴马政府未能与其它39个国家就修订安全软件出口控制协议达成一致。
2013年,出口限制技术范围被拓宽,其包括基于互联网的监控系统(包括“入侵软件”)。但这个措辞并未适当区分善意用途和恶意用途的入侵软件。尽管近期做了一些变更,但措辞范围仍宽泛,且潜在损害网络安全行业和安全研究界。
协定的目的是限制FinFisher GmbH和HackingTeam这类公司将监控技术提供予专制政府用来打击者。这些产品仍能出口,但必须取得有效的出口许可证。然而,《瓦森纳协定》的措辞潜在禁止出口强化网络安全的渗透测试技术。
美国四名国会议员2015年7月向美国工业和写到:“
全部资讯
行业资讯
安全百科
企业动态
网络安全防护建设 漏洞披露究竟要怎么做?
浏览器“自动填充”功能存漏洞 或泄露个人信息
在线咨询
套餐购买
智能安全云引擎
安全运维
网站渗透测试
抗DDos攻击
金融安全解决方案
政府安全解决方案
公司简介
我们发现实施这类技术的出口规则中存在两大显著挑战。第三方往往将漏洞披露给专门为此而创建的匿名电子邮箱。因此,安全研究人员无法了解谁会看到这些漏洞。要求严格的链,确保研究人员不会通过与开发人员聘用的外国公民共享而无意“出口”漏洞轻易破坏整个报告生态系统,并且,企业可能无法与国际分支机构共享威胁数据,至少无法及时共享。
”
第二个问题对全球性组织或企业尤为重要。《瓦森纳协定》中宽泛的措辞可能会使安全研究人员和企业必须取得出口许可证,以跨境共享漏洞代码。共享这类信息目前是识别并缓解安全漏洞的相对常规做法。
这甚至可能意味着“
跨国组织或企业可能需要取得出口许可证,以在全球不同国家的子公司之间传输渗透软件。
该协定中的措辞尤其对美国影响最大,因为美国在全球有大量技术公司。去年,一名美国代表一直希望修改协定的措辞,例如,允许研究人员之间“合法”跨国传输漏洞利用代码,以及在组织内部传输渗透测试代码。
如果要修订《瓦森纳协定》必须41个成员国一致同意,而其中过半的成员国为欧盟成员国。12月召开的这次会议同意对一些细微的措辞进行修改,但不同意美国提出的修订请求。这样一来,《瓦森纳协定》对合法安全研究的影响担忧仍存在。
美国国会议员近日发表声明表示,“《瓦森纳协定》成员国拒绝对入侵软件的出口控制规则做出修订,我深感失望,尤其某些控制涉及成员国发展的必需技术。”
Lutasecurity的首席执行官兼美国代表团的行业顾问穆索瑞斯通过推特表示,“今年的《瓦森纳协定》会议结果令人遗憾。希望下一届政府支持我们继续努力。”
有些人指出,是欧盟导致修订失败。穆索瑞斯推特称,“如何用一句话描述导致《瓦森纳协定》修订失败的原因,它可能是EC No. 428/2009。” 428/2009法规是欧盟的“双用途”机制。
据了解,7月泄露的草案提议显示,欧洲委员会(European Commission)已经开始更新428/2009。然而,早期的设想认为,428/2009法规将会澄清入侵软件的合法用途。
这类双用途法规的潜在意外后果是,安全研究人员将会因担心违反规则不能协作、共享信息或发布结果。该阶段尚不清楚这种担忧是否毫无根据,但我认为,作为企业,我们会谨慎遵循该法规。
目前,看起来是欧盟有意维持现有规则,而非与解决措辞问题。这可能与动机有关。欧盟这样做的主要驱动力为,而美国修订规则的驱动力是经济。
然而,虽然企业和安全研究人员也许会对有限的措辞修改失望,但事情肯定不会如此糟糕。
那么问题来了,下一届特朗普政府是否会支持继续,目前两党国会网络安全核心会议(Congressional Cybersecurity Caucus)支持并建议明年继续再商议。
上一篇:
下一篇:
网盾宝,让互联网世界更安全
ARE YOU READY?
产品服务
解决方案
关于我们
帮助中心
扫一扫 关注我们
业务咨询、商务合作
3217416518
技术支持邮箱
tech@wangdunbao.com
友情链接:
新四板
Copyright @ 2012-2015 闽ICP备15003670号-1 厦门融数科创信息技术服务有限公司旗下-网盾宝
0592-5951658