英特尔发现的绝大部分安全漏洞,均来自内部研究与外部漏洞奖励计划。
根据最新发布的报告,英特尔从自身产品中发现的绝大多数安全漏洞(92%)已经连续第二年由内部研究与外部漏洞奖励计划所贡献。
根据英特尔发布的《2020年产品安全》报告,年内发现的231个漏洞中,有109个由英特尔内部员工发现(47%),有105个源自漏洞奖励计划中的外部研究人员贡献(45%)。虽然没有明确公开各个奖励计划中的具体投入,但英特尔透露其年均漏洞发现奖励金额已经达到80万美元。
英特尔平台保证与安全部门(PAS)的安全通信主管Jerry Bryant表示,该公司后续将继续采取这种多管齐下的安全提升方法。
他解释道,“安全绝不是一次性投资。我们需要以良好的安全开发实践作为出发点广泛考量安全问题,并将安全意识纳入企业的整体思维模式。此外,投资漏洞管理流程并对预发布/已发布产品开展持续安全研究也是不可或缺的重要环节。”
报告强调称,漏洞奖励计划对于应用程序乃至软件开发厂商的安全意义正不断提升。五年之前,企业还在激烈争论这类计划到底有没有作用,但如今大多数厂商都已高度关注与外部研究人员之间的合作关系。
英特尔于2018年启动了自己的漏洞奖励计划,并同步建立起产品保证与安全部门。从报告结果来看,此番努力已经带来回报。过去两年中,通过内部规程与外部漏洞奖励计划发现的漏洞数量大体相同,而且2020年通过漏洞奖励计划上报的漏洞数量增长达三分之一(2019年为70个)。
不同于主要关注复杂固件或硬件漏洞(大多影响处理、网络、图形平台等英特尔核心业务区间)的内部研究规程,外部研究人员一般更关注软件驱动程序。报告指出,有69%的固件相关问题与57%的硬件安全问题来自英特尔内部研究人员的发现。
英特尔在报告中提到,“外部研究人员发现的问题主要集中在软件层面,特别是用于图像、网络与蓝牙组件的软件实用程序与软件驱动程序。与之对应,数据表明我们的内部安全研究主要关注作为平台可信度基础的产品固件问题。”
在英特尔内部研究与漏洞奖励计划之外,研究人员单独上报了17个安全漏洞。英特尔表示,这部分研究人员主要来自英特尔合作伙伴、客户以及未参加奖励计划的其他组织。
安全漏洞(共93个)集中出现在驱动程序及其他软件组件层面,有66个与固件相关,另有58个影响到固件与软件组合。只有14个漏洞与处理器等硬件直接相关。值得一提的是,硬件漏洞(例如由分支预测执行问题所导致的Spectre、Meltdown漏洞)往往很难在产品生产完毕之后进行修复或缓解。
总体而言,图形组件在所发现的漏洞中占比最高,为22个,近半数属于关键漏洞。其中最关键的几个漏洞出现在英特尔融合安全与管理引擎(CSME)当中,作为英特尔计算平台的信任基础,这套引擎负责将中央处理器、固件以及操作系统彼此隔离开来。
2020年,英特尔平台与软件共发现6个关键漏洞、80个高风险漏洞、131个中风险漏洞与14个低风险漏洞。报告同时提到,英特尔内部研究人员共发现了其中2个关键漏洞与损害半数高风险漏洞。
英特尔公司计划继续推进安全保障投资,但没有公布相关计划的具体预算额度。考虑到通过漏洞奖励计划上报的漏洞数量一直不断增长,该公司可能需要进一步提升对外部研究人员的总资金额度。
Bryant总结道,“相较于从预算角度思考问题,我们更倾向于从提升安全能力出发,思考如何扩大保护规模。英特尔产品保证与安全团队专注于SDL、攻击性安全研究与漏洞管理等目标,这些目标往往随时变化,因此无法在报告中以明确的预算形式得到体现。”
原文链接:
https://www.darkreading.com/vulnerabilities---threats/vulnerability-management/intel-paid-research-caught-more-than-90--of-our-vulnerabilities/d/d-id/1340321
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。