发现漏洞应如何处理 英国表示要先考虑是否符合国家利益
英国国家网络安全中心最近披露是如何处理发现的安全漏洞,正常情况下发现安全漏洞应立即通报给开发商。
不过毕竟现在是网络世界有时候发现的漏洞也可能会被用于情报机构,所以漏洞是否会被披露需考虑的很多。
通过漏洞权益流程审查漏洞:
英国国家网络安全中心表示当发现漏洞时首要任务是负责人的披露漏洞,让软件开发商尽早将漏洞彻底修复。
但在此之上还要经过漏洞权益流程对漏洞进行评估和审查,包括漏洞潜在的价值以及是否有利于国家利益等。
漏洞权益流程有三组不同的专家和机构代表组成,包括英国情报界专家、公平董事会以及监督委员会代表等。
在符合国家利益的基础上英国情报界有权利保留漏洞,如果情报界不需要此漏洞再转给公平董事会进行评估。
最终有监督委员会代表负责监督上述流程的执行是否正确运作,通常未被保留的漏洞就会被提交给开发商们。
如果确定要保留漏洞审核流程会越来越长:
尽管看起来只要是英国情报界需要那就可以保留漏洞,但实际执行过程中想要保留漏洞的也并不是容易的事。
不同的部门代表如果需要保留漏洞都需要进行冗长的审核,最终必须与公平董事会和安全专家达成一致才可。
最后如果确定保留漏洞而不披露给开发商或者公众,那么至少每 12 个月或按需要重新按此前流程进行审核。
如果没有达成一致则审核失败那么漏洞就要披露给开发商,要确保潜在的漏洞不会对网络世界造成重大影响。
美国此前因影子经纪人事件被迫公开审核流程:
英国国家网络安全中心这次是主动公开自己的审核流程的,在此之前公开类似的评估流程的似乎也只有美国。
不过这并不是美国主动愿意公开自己流程,而是前两年发生的影子经纪人事件后迫使美国公开漏洞审核流程。
影子经济人指的是此前有黑客将美国国家安全局掌控的漏洞攻击武器盗取,盗取后直接在网上公开销售漏洞。
这些漏洞很多都是存在很多年并且发现很多年,不过美国为了利用漏洞将其武器化后始终保留漏洞自己使用。
永恒之蓝就是影子经纪人从美国盗取后公开的,最终有黑客利用永恒之蓝开发WannaCry勒索软件席卷全球。