阿里云因发现严重漏洞未及时报告国家主管部门,被暂停工信部网络安全威胁信息共享平台合作单位6个月。通报中称阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。阿里云是11月24日向Apache提交漏洞报告的,第一报告对象不是国家电信主管部门。在12月9日之后CNVD、CNNVD和CNCERT的漏洞预警通告中,相关支撑单位名单确实没有出现阿里云的名字。处理它的依据应当是工信部今年发布并实行的《网络产品安全漏洞管理规定》,可能还有网络安全威胁信息共享平台合作单位相关权责条款。因此,阿里云被处理确实不怨、不亏、不重。

此事在行业内引起热议,像路透、半岛等外媒均跟进报道,后续舆情发展难料。但这是国家电信主管部门首次就漏洞披露不合规开出的罚单,释放的信号相当明显,那就是在国家网络空间安全治理相关的四部法律及法规逐步完善的情况下,漏洞披露必须合规、合法,违规、违法必须受到惩罚。

网络产品安全漏洞到底如何负责任的披露,不妨学习一下卡耐基梅隆大学电气与计算机工程系教授,也是ForAllSecure公司的首席执行官David Brumley关于漏洞披露博弈论的观点。以下摘编自Brumley的文章《博弈论:系统安全就像打扑克而不是下象棋》。

零日漏洞的游戏

想象一下,你发现了一个新的零日漏洞。你可以披露零日漏洞,也可以开发漏洞利用并攻击其他人。你的行为会产生后果,并且你有能力进行一系列的行为。对零日漏洞的处置,不外乎如下几种情况:

1、只利用它。进攻是有价值的,你可以获得一些效用,如访问权、情报或控制权。

2、只披露。 披露是因为它导致补丁、网络过滤器或其他补救措施。披露不是防御;它只是防御的前兆。披露后,开发出补丁或补救措施,并最终推出。补救办法是将这个漏洞从攻击者可利用漏洞列表中删除。

3、利用后披露。为什么不利用漏洞攻陷几个系统,希望不要被抓住,然后披露?如果你仅有的几次漏洞利用从来没有被注意到,你仍然可以被视为一个好人。

4、披露后利用。披露机会窗口是披露漏洞到开发出补救措施保护系统这个时间段。这个机会窗口可能很大。例如,美国国家安全局(NSA)表示已历史性地披露了它发现的漏洞的91%,但美国安全机构也声称使用漏洞利用技术来攻击存在已披露漏洞的系统是有效的。使用已知漏洞(至少部分而言)是可行的,因为无法立即修补所有漏洞。。

5、选择雪藏。不采取任何行动,并将漏洞信息保留给自己,以便以后再做决定。但是零日漏洞的保质期会在其他人发现相同漏洞时到期。这个时间是不确定的,即不知道要花多长时间,但是可以肯定的是,只要软件保持相关性,你找到的任何零日最终都会被其他人发现。

漏洞披露的博弈

在博弈论中,创建一个博弈状态来捕获该上下文。博弈论还要求保持形式化,并为每项行动提供正面或负面的效用。在风险评估中询问任何人;如果没有采取行动的费用,则无法评估风险。关于博弈论的好处是,可以使用不同的效用函数来了解它们如何改变结果。例如,如果漏洞被利用的成本与收益是10美元对100万美元,那么防御者的战略将如何变化?

让我们从两个游戏者开始简单:红方和蓝方。每个游戏者都运行相同的软件,例如Windows10。由于双方都运行相同的软件,因此每个游戏者都受到一个新的零日漏洞的影响。游戏者只有在发现零日漏洞时才能利用或披露。如果他们选择利用,那么他们所攻陷的每个系统都会获得一个“点数”。每个玩家都希望通过获得最高点数或至少获得平局来获胜。

在这场比赛中,计算机系统的数量至关重要,因为它突出了特定漏洞可能带来的潜在风险的不对称性。假设红方和蓝方不同,蓝方有10台计算机,红方有3台计算机。

(红方的想法):如果我发现一个新的零日漏洞,我攻击蓝方的10台电脑,可以得到10分。我只有3台脆弱的电脑,所以蓝方最多可以得到3分。基于10>3的情况,我总是会攻击。

(蓝方的想法):如果我发现一个新的零日漏洞,我攻击红方的3台电脑,可以得到3分。然而,如果红方找到了漏洞,他们会得到10分。这种情况下,披露和补丁是有意义的,假设我在红方攻击前可以得到补丁并安装。

在这个游戏中,蓝方被激励不要攻击。从伦理上讲,这似乎是一个好结果。不幸的是,红方被激励发动攻击。稍后,我们将探讨激励红方实现和平的一种方式。

这个简单的例子也表明了一些教训和特性:

1.针对已公开的漏洞,需要衡量如何迅速地将补救措施部署到位。仅仅知道正在运行易受攻击的软件还不够。重要的是你部署补救措施或补丁的速度。可以对它进行衡量和优化。

2.弱小国家(或损失较少的国家)更容易受到攻击。

3.负责任的披露有两个极端:一个是供应商修复软件,另一个是不修复软件。如果供应商从不解决问题,这有帮助吗?在短期内,它可以为坏人提供信息,在哪里寻找有漏洞的系统。另一方面,传统的观点认为,这有助于使公众了解谁是“负责任”的供应商,而谁不是。除此之外,我们可以开始对这种情况进行建模。一个有理智的人明明知道这会导致不良后果,他会选择忽略该漏洞?

4.找到零日漏洞的玩家可以选择。如果你不花时间在自己的软件和供应链中查找漏洞,那么根据定义,你的策略就是被动的。还要补充一点,如果你至少不使用与对手一样全面的技术(例如,犯罪分子,如果是企业的话),那么你也会选择被动反应。

零日漏洞真的是零披露

“零日漏洞”一词有点用词不当。如果你发现一个以前未报告的漏洞,这并不意味着没有其他人知道它。这只意味着没有其他人公开披露。

假设蓝方使用下述工具或方法找到了一个新的零日漏洞:

① 一种广泛可用的模糊测试器,如AFL(模糊测试工具),经过两天的分析。

② 一种超级秘密的下一代技术,10天可获得。

用于发现漏洞的方法可以更改对手也找到漏洞的可能性。如果花了两天时间才发现,那么攻击者很可能也可以在两天内发现该漏洞。查找漏洞所花费的时间与发现漏洞的难易程度有关。但是,用来发现漏洞的超级秘密技术是你自己的。如果发现漏洞(AFL找不到),则该漏洞的保质期可能比其他人发现漏洞的时间要长。

你还可以开始估算对手可能有多少新的漏洞利用。例如,谷歌在过去三年中使用其oss-fuzz基础设施报告了3,849个新的关键安全漏洞,每天可以解决约3.5个。想想看:从统计上看,Google会在圣诞节和新年之间发现28个新的安全问题。Google具有民族国家的进攻能力。当然,武器化需要花费更多时间,并且并非每天都有3.5个漏洞可以被武器化,这点必须明确。

Google在其开放源代码模糊测试中使用了开放源代码工具,以便先于攻击者发现错误。如果你认真对待这种主动方式,建议跟随他们的进度,并同样采用攻击者也使用的技术。这是一种积极主动的方式。即使拥有发现所有错误的神奇技术,攻击者使用的模糊测试和其他技术也可以提供帮助。如果你发现一个错误并拥有表明使用该工具需要花费多长时间的数据,则可以使用该信息来衡量风险或攻击者需要花费多长时间。

反弹攻击(Ricochet Attacks)和玻璃屋

漏洞利用是可以被复制的。如果你真的很擅长反弹怎么办?这改变了游戏模型的策略。有趣的是,它可以为每个人提供不攻击的真正动机。

如果蓝方发动攻击时红方可以反弹怎么办?蓝方可以开始对可能性的推理:

1、如果我的攻击没有被发现,得到3分,红方0分。我赢了。

2、如果红方能反弹,也就是说,能够检测和响应对任何特定系统使用的零日漏洞,他可以复制它并利用漏洞攻击我的10台脆弱的计算机。那么我不应该攻击。

考虑一些极限值。如果红方可以100%反弹任何攻击,那么蓝方绝对不要选择攻击。如果红方有0%的机会反弹,那么蓝方应始终在此游戏中发动进攻。极端值有助于弄清情况,但我们无需假设100%会反弹。如果红方仅抽走了10%的流量进行真正的深度分析怎么办?他们很有可能看到零日漏洞;这有助于抑制蓝方吗?足够吗?

反弹的有趣之处在于,即使存在脆弱性,它也能激发和平。有点像MAD(相互保证杀伤),但是世界没有被破坏。如果红方和蓝方具有相同数量的系统,并且都具有反弹攻击能力,则它们都不应该攻击。就像古老的谚语:住在玻璃房子里的人不要扔石头。

该框架表明美国表现合理。如果其他人找到漏洞并为漏洞并进行武器化,他们可能损失最多。从理性上(不仅在道德上),将他们的拇指放在天平的披露一方是有意义的。

除了彻头彻尾的反弹之外,还可以将披露视为向攻击者提供部分信息,并指导决策。蓝方可能进一步推理:

1、如果我披露此漏洞,将花费我一些时间来为我的10个系统提供补丁。我知道我需要比红方将漏洞武器化更快的速度。

2、如果我什么也不做,不知道红方以后是否会找到并利用该漏洞。毕竟,红方很聪明,而且人们也在寻找零日漏洞。要等多久才能做出决定?

反弹不一定是报仇。例如,假设红方的盟友橙方拥有10台易受攻击的计算机。以前,没有盟友,诱因似乎促进了红方进行攻击的决策。如果蓝方可以反弹,他可以通过向橙方反弹攻击来消除红方的动机。如果发现漏洞,红方现在必须对失去的3分感到满意,再加上蓝方可能对橙方造成的10个损害。这个新世界表明,红方不再应该首先进攻。

想象一下一个疯狂的世界,俄罗斯简单地说:“如果检测到网络攻击,我将对以色列的每台易受攻击的计算机发动同样的攻击。” 这将激励以色列不仅保持与俄罗斯的和平,而且还会激励以色列向盟国施加压力,使其也不要进攻。它还将指导国家政策(例如,真正擅长反弹)。

即使你无法反弹,博弈论也建议你不仅应该披露发现的漏洞,而且还应披露针对你的漏洞。攻击/防御黑客竞赛告诉我们最好的事情是首先攻击最弱的玩家。如果你对弱者使用漏洞利用并且他们检测到这个行动,则你将知道不能对强者使用该漏洞利用。并不是说更强大的玩家也不会检测到漏洞攻击,但是它确实提供了一些信息。

如果你披露了对网络的任何攻击,特别是如果你披露了一个新的零日漏洞攻击,则可能会削弱攻击者的动机。至少听上去有道理,他们不会先攻击你而是攻击其他人。

在这一点上,关于在国家层面使用博弈论的细节是理论上的。作者本人和其研究生蒂芙尼·鲍(Tiffany Bao)撰写的一篇关于博弈论的论文中获得了国家安全局(NSA)授予的“安全科学奖”。该文简化了可能无法涵盖许多现实世界因素的假设。当我们知道世界不是理性时,它就假设为理性。精算观点认为,当现实世界更加复杂时,效用函数会产生后果。关键是要阐明一种在MAD、经济学和其他领域中起作用的思维方法。一般而言,博弈论还可以强调我们可以在何处放置可能不明显的激励措施,以及这些激励措施是否实际上改变了我们(认为)正在玩的游戏。

博弈论在国家层面的应用

美国政府有责任保护国家,这(相当合理)既需要网络进攻也需要网络防御。美国的政策是优先考虑防御并披露美国“漏洞披露过程”(VEP)中的任何行动。NSA(国家安全局)表示,通常会披露其研究人员在通过VEP流程进行评估后发现的大约91%的漏洞。

有争议的是,公众认为NSA应该彻底披露每个漏洞。当前网络犯罪的确具有价值,而且已成为现实中网络安全事件的关键部分,例如入侵DNC服务器(坏)或破坏危险国家的核材料计划(好)。如果选择用炸弹杀死人还是使用网络攻击达到相同目的,通常认为网络手段可能更有意义。漏洞披露的任何问题都不应该孤立地看待。正如所看到的,这取决于游戏规则,以及哪种战略最有可能达到预期的结果。

博弈论不仅仅是针对民族国家;它是一种模拟情景和指导决策的方式。你可以模拟其他人将如何采取行动和你将做什么来对抗这一行动的概率。

显而易见,网络攻防不是国际象棋。这是一场扑克游戏。在国际象棋中,你可以完全了解对手的位置和动作。在扑克中,你缺乏在网络空间也会发生的可见性。在网络中,你不确定对手所掌握的攻击,他们是否使用了所披露的漏洞以及你的零日漏洞在全球范围内是否真的是零日漏洞。

战略意味着你已经全面思考了各种选择、风险和回报。你制作的游戏并非玩味有趣,而是一种可以让你通过行动、动机和可能性进行推理的游戏。

网络应该没有什么不同。作者曾想像过著名的安全专家会大喊“负责任的披露是符合道德的选择”,以及“如果我们不负责任地披露,作为一个国家,我们会有更大的风险。”

不管如何选择,这都会促使相关机构进行更深入思考。网络空间攻防,对抗,斗争。要讲艺术。

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。