【深度分析】漏洞就是网络军火 —美国漏洞披露管理政策及启示

2019-04-25 17:57:21
我要分享


微信扫码分享

漏洞是网络攻防重要的战略资源。美国对漏洞的披露管理十分严格和谨慎，近年来发布了一系列有关漏洞披露管理的相关规定和法案。研究这些规定和法案所折射出来的政策意图和实施规程，对搞好我国漏洞管理颇有启发意义。

一、美国漏洞披露管理相关政策规定

1、漏洞公平判决程序章程（VEP）

2017年11月15日，美国政府发布年度报告VEP程序章程（Vulnerabilities Equities Process），表明了美国政府对漏洞披露利弊的综合权衡。VEP的基本做法是将美国各机构获得的漏洞信息在政府内部进行分享和评估，然后根据漏洞具体情况来决定是否告知企业，以便它们发布安全补丁和保护用户安全，还是保留该漏洞用于情报活动，以谋求更大利益。美国政府宣称最终他们会披露约90%的软件漏洞。

2、网络漏洞披露报告法案（H.R.3202）

2018年1月，美国众议院通过了《网络漏洞披露报告法案》（H.R.3202 - Cyber Vulnerability Disclosure Reporting Act），为美国政府VEP程序章程提供了法律保障。该法案要求国土安全部（DHS）提交网络漏洞披露报告，对漏洞做国家安全评估，决定是否向制造商和公众披露漏洞，还是利用新发现的漏洞攻击潜在对手。

3、国土安全部漏洞法案（S.1281）

2018年4月，美国参议院通过了《国土安全部漏洞法案》（S.1281 - Hack the Department of Homeland Security Act of 2018），要求国土安全部在首席信息官办公室设立一个“漏洞赏金试点计划”，利用黑客识别DHS网络中的潜在漏洞。根据该计划，DHS为参与试点计划制定快速的登记，背景调查和资格确定程序，为公众可以访问的网站、应用程序和其他信息系统中未识别的漏洞报告提供补偿。

4、公私网络安全合作法案（H.R.6735）

2018年9月，美国众议院通过了《公私网络安全合作法案》（H.R.6735 - Public-Private Cybersecurity Cooperation Act），要求国土安全部为DHS互联网网站制定漏洞披露政策，允许个人、组织和公司在适当的信息系统上报告安全漏洞，并由DHS制定漏洞修复流程，最大限度减轻漏洞影响。

5、国务院黑客法案（H.R.328）

2019年1月，美国众议院通过《国务院黑客法案》（H.R.328 - Hack Your State Department Act），要求国务院在6个月内实施漏洞披露程序，以改善网络安全。法案提出者认为，国务院多年来一直面临着日益严重的网络安全威胁，国务院将鼓励白帽黑客协助该机构识别关键漏洞。该法案给予国务院一年的时间来开发和测试一个漏洞赏金试点项目，研究人员可报告部门内部的漏洞，从而获得奖励。程序建立6个月后，州政府应向国会报告该程序的状态。

二、美国漏洞披露管理的特点分析

1、将漏洞披露上升到国家安全高度

美国一直将漏洞管理作为网络安全国家战略的关键要素，其在未知漏报保护和利用上的处理等级完全不亚于实体军事武器。早在2013年12月，《瓦森纳协定》就将漏洞和一些入侵软件列入军用物资进行管制，随后，美国商务部也出台相关实施规则草案，将漏洞纳入美国《出口管理条例（EAR）》的管控范围。今天，漏洞的资源性和武器化趋势已成为国际上的普遍共识，漏洞披露上升到与国家安全和国家利益密切相关的高度。

2、构建国家层面程序化的漏洞披露协调和决策机制

美国已从政策、立法和程序上，构建了国家层面统一的网络安全漏洞披露协调和决策机制。近年来，美国持续投入力量建立开放灵活的漏洞收集、发布等管控机制，力求在漏洞披露上平衡“安全防护”、“情报收集”和“网络反恐”等多方需求，做出“对整体利益最好的决策”。比如，VEP裁决委员就是由国家安全局、国土安全部、联邦特勤局、国家情报总监办公室、财政部、国务院、司法部、联邦调查局、能源部、白宫行政管理和预算办公室、国防部、商务部、中央情报局等众多机构组成，几乎囊括了主要的政府、军方等利益相关方，通过这种多方协调磋商形成国家统一的漏洞披露准则。同时，美国还致力于细化漏洞披露裁决程序，提高政策的可操作性。比如，VEP程序章程详细规定了漏洞裁决的六个步骤，形成了可操作的最佳实践。

3、注重保护白帽子漏洞发现和披露者的合法利益

美国充分认识到白帽黑客在关键信息系统的漏洞发现方面的价值，一方面对未经授权的漏洞发现和披露行为进行规制，另一方面加大对白帽黑客漏洞发现和合法披露的保护，如VEP程序章程就涵盖了美国政府从私营部门、民间黑客购买的0Day漏洞披露的相关问题。《国土安全部漏洞法案》和《国务院黑客法案》都要求设立“漏洞赏金试点计划”，鼓励白帽黑客协助识别关键漏洞。美国军方通过开展“黑掉国防部”、“黑掉美国陆军”、“黑掉美国空军”等比赛，收集并修复了大量有价值的漏洞，提高了网络防御能力。例如，2018年12 月美国空军在三天之内就发现并修复了 120 多个安全漏洞。

4、保留诸多例外，谋求漏洞利用优先权和合法化

从美国漏洞披露管理的一系列政策法规来看，其在漏洞披露的透明度方面有所提高，改变了过去单纯由情报机构主导进行“暗箱操作”的做法，这也与近年来美方面临漏洞操控指责的公众压力有关。比如，2017年5月“WannaCry”勒索病毒席卷全球让美国利用漏洞囤积网络武器的行为备受质疑。

但与此同时，美国在漏洞披露方面仍进行了许多保留。以VEP程序章程为例，一是VEP可能受到第三方保密协议、谅解备忘录或其它条件限制，阻止漏洞信息及时披露。二是缺乏漏洞风险评级，难以评估VEP政策的实际效果，比如国家安全局可能公开披露999个低危和中危漏洞，但却手握5个高危漏洞而不披露。三是国家安全局作为美国军方情报机构，承担VEP执行秘书职责，能够主导VEP裁决相关事宜。众所周知，国家安全局拥有大量未知漏洞，许多漏洞已被用于制作网络武器，因此很难保证披露的公正性。四是VEP审核过程不受产业界的监督，预留了较多例外项，比如只向某些机构披露漏洞缓解信息，而不披露具体漏洞等。

三、主要启示和建议

从美国漏洞披露的相关政策法规不难看出，美国早已将漏洞视为网络军火进行挖掘收集和严格管控。目前，我国网络漏洞管理制度不完善、漏洞修补不及时等问题突出，可以借鉴美国相关做法加强我国漏洞综合管控。

（一）鼓励及时披露遭到的网络攻击，以便尽早发现漏洞

网络攻击的大数据积累越多，越有助于分析发现和及时修补漏洞，避免同一漏洞及其变种被反复利用，造成更大损失。应该出台规定鼓励政企单位遭到攻击时第一时间进行披露，对安全事故追责区分具体情况，不搞扩大化。如果因为该做的事情没有做到位，比如该打的补丁没有及时打、使用了弱密码等要追责。但遇到对手使用0 Day级别漏洞进行攻击，就未必要追责。

（二）制定漏洞修复管理细则并建立责任追究机制

我国现有漏洞通报、修复管理等制度还不完善，对漏洞修复时间等缺少具体规定，导致有关单位数周、甚至数月不修复漏洞。同时，缺少监督执行和处罚机制，对于未按要求修复漏洞的单位难以及时发现和处罚。亟需加紧制定漏洞修复管理细则并建立责任追究机制，实现漏洞修复管理的有效落地。

（三）建立国家统一的漏洞发掘与披露管控制度

尽快在国家层面建立统一的漏洞发掘与披露管控制度。一方面，进一步整合各方漏洞信息，加强国家级漏洞库建设，鼓励民间企业和个人开展漏洞的挖掘、众测等活动。另一方面，建立由政府、研究机构和产业界等组成的漏洞审核、披露机构，形成一套完善的漏洞审核与披露实施流程，提升国家漏洞的统一管控能力。