文 | 《中国信息安全》杂志社 桂畅旎;中国信息安全测评中心 李维杰

近年来,网络安全漏洞(以下简称“漏洞”)的资源属性和战略地位不断提升,与其相关的战略、政策和平台成为各方关注与研究的重点。美国作为信息化和网络安全领域的先发国家,在网络安全漏洞的发现收集、验证评估、修复消控、披露和跟踪上建立了较完备的治理体系,成为美国网络安全战略保障的关键环节。拜登政府投入大量资源,优化漏洞资源持续收集和储备的基础体系,并完善漏洞收集与发布等管控机制,呈现出漏洞治理的新理念与新动向。当前,在拜登政府加强关键基础设施安全政策的支持下,漏洞治理得到了进一步强化。然而,该领域仍面临诸多挑战,包括漏洞大量积压、处理效率低、共享效果差等问题。梳理美国在漏洞治理方面的历史沿革,分析其理念转变及应对举措,对于强化我国漏洞治理能力具有重要的参考价值。

一、美国漏洞治理体系发展历程

漏洞主要是指信息系统在设计、实现、运维等各个阶段产生的缺陷或脆弱性,对系统的机密性、完整性、可用性产生影响。漏洞是网络安全事件的主要诱因之一,无论是重大的“零日漏洞”(0day)还是易被利用的“在野漏洞”,都是全球数字化、智能化发展的主要风险源。一旦被恶意利用,就有可能损害信息系统安全,对个人、企业、社会甚至国家造成重大损失。从行业与技术发展角度分析,最早引入漏洞概念时只涉及“补丁治理”而非“漏洞治理”,相关工作仅限于信息通信技术工作领域,并未纳入网络安全工作视野。直到 20 世纪最后十年,随着 SecurityFocus、PacketStorm 等漏洞库的出现,行业主导下的漏洞治理才正式开启。

1999 年,美国联邦政府根据国家标准与技术研究院(NIST)的建议,创建了“通用漏洞披露”项目(Common Vulnerabilities and Exposures,CVE)。随后,于 2000 年成立了国家漏洞库(NVD),并一直运营至今。目前,NVD 不仅拥有丰富且结构规范的漏洞数据,而且在权威性等方面的领先优势明显,已发展成为全球安全预警和漏洞发布的重要平台。经过数十年的发展,美国围绕 NVD 的建设,在漏洞影响评估、危害处置、风险评估等实践方面形成了完整的漏洞治理体系(如图所示)。总体而言,在美国的漏洞治理体系中,产业界、学术界和政府监管部门共同制定相关政策规范漏洞治理,并通过漏洞库披露漏洞及其危害,确保整个社会能够及时处理和应对漏洞风险。

图 美国的漏洞治理体系

总体上,美国在漏洞治理方面积累了丰富经验。从时间维度看,可将美国的漏洞治理体系发展划分为三个阶段,即基础构筑期、内部调整期和持续深化期。

(一)基础构筑期(1999 年到 2013 年)

美国在此阶段的漏洞治理政策主要体现在基础设施和机制建设。在基础设施建设方面,基于 NVD 建设,美国建立了漏洞挖掘分析、漏洞统一编号、脆弱性测量与评分等运营治理机制。一是不断完善 CVE 的基准作用。CVE 作为漏洞库“字典”,主要任务是为 NVD 收集的公开漏洞提供唯一的识别号、描述和相关公共引用。只有经过 CVE 确认的漏洞才会被收录到 NVD 中。二是发展漏洞风险评分(CVSS)作为“量尺”的作用。CVSS 是通用漏洞评分系统,由安全事件应急小组 FIRST 组织运营和维护,通过制定评价标准对漏洞的严重程度进行定量评分,为用户明确漏洞处置的紧迫性提供参考。三是建立通用漏洞平台枚举项作为“通用语言”,主要使用通用机器语言对网络产品和平台的名称、版本进行编码,应用于 NVD 可帮助用户明确漏洞所影响的产品和范围。在机制建设方面,美国政府意图建立多部门协调处理漏洞的行政机制。2010 年发布的《商业和政府信息技术及工业控制产品或系统漏洞政策及规程》,正式建立了“漏洞公平裁决程序”(Vulnerabilities Equities Process,VEP)。该程序规定了漏洞裁决的通知、决策和上诉流程,开启了美国多部门协同治理漏洞的进程。

(二)内部调整期(2013 年到 2017 年)

2013 年曝光的斯诺登事件改变了美国漏洞治理的既有进程。美国政府及互联网企业遭到舆论的严重抨击,同时也面临法律责任的追究。2014年有关美国国家安全局提前两年掌握“心脏出血”漏洞并利用其进行情报活动的报道,以及 2017 年“影子经济人”曝光大批美国情报机构掌握“武器级”漏洞,特别是针对美国情报机构对“永恒之蓝”漏洞知情不报的情况,点燃了全球对美国漏洞治理政策的“怒火”。在此背景下,2017 年11 月,特朗普政府启动了 VEP 改革,并发布了新版《联邦政府漏洞公平裁决政策和程序》,旨在引入多方利益攸关方,减少情报机构对于漏洞治理程序的主导。

(三)机制深化期(2018 年至今)

拜登政府在漏洞治理政策上表现出明显的延续性和连贯性。近年来,针对重要政府部门和企业的黑客攻击事件频发,以及有关黑客干预特朗普大选结果的相关炒作等,使美国政策界对漏洞治理的共识达到了前所未有的程度。2018 年,美国网络安全和基础设施安全局(CISA)的成立是美国漏洞治理的重要转折点。2021 年 5 月,拜登政府发布了《改善国家网络安全行政令》,为 CISA 统筹漏洞治理提供了法理基础。此后,CISA围绕漏洞治理进行了一系列改革,包括 2021 年 11 月发布《联邦政府网络安全事件和漏洞响应手册》,为联邦民事行政部门(FCEB)提供了标准,用于识别、协调、补救、恢复和跟踪影响部门系统、数据与网络的事件和漏洞。2022 年,CISA 在协同防御、漏洞治理、事件报告和安全演习等方面,对关键基础设施的保护提出了建议指导和强制要求。

二、当前美国漏洞治理体系面临的突出挑战

近年来,在信息科技高速发展的时代背景下,信息技术产品供应链不断增长,网络威胁形势不断变化,漏洞利用方式层出不穷,导致当前美国漏洞治理面临的挑战愈发凸显。

(一)漏洞库处理效率低下,更新时效性不足,明显滞后于漏洞披露速度

随着漏洞数量的增多,NVD 漏洞处置时效性不足的问题日益突出。尽管美国对漏洞治理机构、漏洞处置运行机制等方面进行了改进,但收效还不明显。根据产业界最新观察,NIST 仅分析了 2024 年迄今为止收到的 14228 个 CVE 中的 4523 个,分析占比不足 32%。此外,自 2024 年 5 月 9 日起,NVD 不再显示新漏洞,NIST 也公开承认存在漏洞积压问题。总体来看,NVD 漏洞处理效率低主要涉及以下几方面的原因:一是“预算问题”,NIST 2024 财年的预算为 14.6 亿美元,比上一年减少了近 12%,这严重限制了 NIST 在漏洞处理上的投入;二是“承包商问题”,NIST 终止了与亨廷顿英格尔斯工业公司的合同,后续承包商未及时跟上;三是“标准问题”,NIST 正在讨论是否更换 NVD 使用的一些漏洞标准而采用新的标准。

(二)漏洞治理理念未与时俱进,专注于应对“零日漏洞”的理念难以适应“在野漏洞”大范围利用的现状

“零日漏洞”一直被视为漏洞治理的主要关注对象,甚至将拥有“零日漏洞”的数量作为评价漏洞库平台影响的重要依据。然而,近年全球爆发的大规模数据泄露、勒索攻击以及针对关键基础设施攻击等事件表明,“在野漏洞”造成的危害越来越明显。这类漏洞是已被证明利用过的漏洞,且还未跟进补丁或处置操作,其再利用的风险较大。然而,美国长期以来将漏洞治理的重心放在“零日漏洞”上,国家层面应对“在野漏洞”再利用的举措相对较少,导致这类漏洞引发的安全事件不断增多。根据 CISA、澳大利亚网络安全中心(ACSC)、英国国家网络安全中心(NCSC)和联邦调查局(FBI)联合发布的《最常被利用漏洞》报告,“在野漏洞”已成为网络攻击的常见载体。

(三)漏洞挖掘能力未及时更新,单纯依靠“专家发力”难以匹敌“机器发力”的技术发展形势

传统的安全漏洞挖掘方法需要安全研究人员具备丰富的专业知识,而且效率相对较低。研究表明,融合人工智能技术与程序分析能够实现自动化安全漏洞挖掘,这种结合在提高效率和降低成本方面具有显著优势。例如,由 ForAllSecure 开发并得到美国国防高级研究计划局(DARPA)资助的智能化漏洞挖掘系统 Mayhem,已在美军中得到广泛应用,成为其识别自身软件和系统漏洞的重要工具。随着人工智能技术加速发展,其在网络安全漏洞挖掘方面的应用越来越广泛,许多组织和机构正在将人工智能应用于漏洞治理的各个环节,从漏洞报告的识别与收集、多源异构漏洞数据的分析和处理、漏洞数据的维护和治理到漏洞数据中关键字段和信息的补全,以及最终漏洞关系的完善与展示研究,这些都已经表现出成熟的运用。总体而言,美国已开始尝试将人工智能技术引入漏洞治理进程以提升效能。然而,相较于黑客利用大模型进行漏洞挖掘和提升免杀能力,美国政府仍然侧重于“专家发力”而非“机器发力”,新技术对于漏洞治理效能的赋能尚未明显显现。

(四)漏洞治理共享水平不高,公私协同治理阻碍重重

一直以来,美国将“共享”与“协调”作为漏洞治理的核心,旨在以多利益攸关方原则为基础,在政府内部、政府与企业以及国与国之间中建立广泛的合作与共享关系。为此,美国也制定了一系列的漏洞治理共享政策,但收效甚微。一方面,斯诺登事件的影响仍在持续,像微软、脸书等公司对于与政府在漏洞治理上的合作仍保持谨慎态度。另一方面,由于漏洞具有武器性以及“曝光即失效”的特点,使得囤积漏洞无论是在商业上还是在安全考量上都具有很大的市场。

三、美国漏洞治理应对举措及影响评估

针对漏洞治理面临的一系列问题,拜登政府提出了若干针对性的应对举措,主要体现在以下方面。

(一)针对漏洞发现难的问题,机制化漏洞披露政策

创建高效的漏洞披露计划对于减少政府和企业信息的意外泄露以及数据的损坏至关重要。一直以来,由于联邦层面漏洞披露机制的缺失以及政府部门安全能力的滞后,美国联邦机构难以及时和全面地发现自身所存在的漏洞。对此,美国政府尝试利用多利益攸关方的力量推动漏洞披露的机制化。2016 年,美国国防部推出了名为“黑掉五角大楼”的重大漏洞赏金计划,这是首个漏洞披露行动,但并未立即在美联邦政府内广泛推广。随着各联邦政府部门网络安全事件频发,美国政府日益意识到构建机制化的漏洞披露政策是解决“发现问题”的关键。为此,CISA 在 2020 年 9 月发布了“制定和公开漏洞披露政策”的约束性操作指令(BOD 20-01),要求机构制定并发布漏洞披露政策,允许对所有可通过互联网访问的系统或服务进行善意的安全研究。CISA 还指示机构建立接受报告、传达发现、修复漏洞的渠道。在此基础上,CISA 在 2021 年 7 月推出了漏洞披露政策(VDP)平台,一方面作为信息平台向安全研究人员宣传各联邦机构的漏洞披露政策,号召研究人员积极搜索、检测并提交漏洞;另一方面,敦促联邦民事行政部门审查各部门的漏洞披露政策平台,鼓励善意的安全研究。

VDP 的建立显著改善了美国联邦部门“灯下黑”的情况,极大激励了各部门的漏洞披露热情。根据 CISA 官方数据,截至 2022 年 12 月,研究人员向平台上报了 1300 多个“已验证”漏洞;相关机构已修复了 84%的上报漏洞,平均修复时间为 38 天。作为一项成本效益高的安全举措,美国各部门的 VDP 有效提升了其网络安全保障效度。例如,美国国防部网络犯罪中心(DC3)的 VDP 自成立以来已经处理了 45000 份漏洞报告,成功搭建了美国国防部与全球道德黑客社区间的桥梁。研究人员提交的漏洞报告经过审查和验证后,可直接提交给联合部队总部-国防部信息网络(JFHQ-DODIN),再由 JFHQ-DODIN 发布应对举措,形成漏洞发现、验证和修复的完整闭环。为进一步推进漏洞披露政策的落地,NIST 在 2023 年 5 月发布了《对联邦漏洞披露指南的建议》(NIST SP 800-216),就建立联邦统一、灵活的漏洞披露框架提出了指导建议,要求各联邦部门建立漏洞披露项目办公室(VDPO),专责协调漏洞披露工作。

(二)针对漏洞重复利用问题,实施易利用漏洞报告制度

针对“在野漏洞”成为网络攻击的常见载体,漏洞的可利用性已成为一个重要评价指标。美国已经开始将治理重点转向易被利用的漏洞。为此,CISA 在 2021 年 11 月发布了“降低已知被利用漏洞的重大风险”的约束性操作指令(BOD 22-01),指出“已被利用过的漏洞是各类恶意网络参与者常见的攻击手段”,并建立了已知可利用漏洞(KEV)目录。该指令要求所有联邦民事行政部门必须在规定时间范围内修复目录中的漏洞,以降低已知被利用漏洞带来的重大风险。

KEV 目录运行近三年来,已经成为全球网络安全组织的一个重要参考工具。截至 2024 年 6 月,KEV 已经收录了 1000 余个漏洞,并仍在定期添加新条目。KEV 有效提升了美国联邦政府的网络安全保障效力。CISA 网络安全执行助理主任埃里克·戈尔茨坦(Eric Goldstein)在 2023 年 10 月的众议院听证会上作证时表示,该目录对美国政府 100 多个联邦民用机构的网络安全产生了明显影响。在过去两年中,指导了超过 1200 万个已知被利用漏洞的补救措施;暴露 45 天或更长时间的可利用漏洞的百分比下降了 72%,联邦民用机构的攻击面减少了 79%。

为了进一步发挥 KEV 的作用,CISA 在 2024 年 5 月宣布启动一项名为“漏洞丰富”(Vulnrichment)的计划,旨在为 CVE 记录添加重要信息,帮助组织改善漏洞治理流程。该项目将为公共 CVE 记录补充通用平台枚举项(CPE)、CVSS、通用弱点枚举(CWE)和 KEV 数据。补充这些信息可以帮助组织优先开展漏洞修复工作、洞察漏洞发展趋势,并敦促厂商解决漏洞类别问题。丰富漏洞的特征信息将提高漏洞的标注精度,从而有助于提升漏洞治理的效能。

(三)针对漏洞处理效率低,进行机制改革和技术革新

为了减少当前美国漏洞库面临的积压情况,美国政府意图吸引更多利益攸关方参与漏洞治理工作。2024 年 3 月,NIST 正式宣布将 NVD 的部分治理工作移交给行业联盟。一方面,联盟将为 NVD 的运行提供资金支持,以缓解 NIST 因预算削减而面临的财政压力;另一方面,帮助 NIST 恢复漏洞收集工作并推动 NVD 的现代化进程。此外,拜登政府期望利用下一代人工智能技术快速识别和修复关键软件的漏洞。因此,在 2023 年 8 月,拜登政府宣布启动为期两年的人工智能网络挑战赛(AI Cyber Challenge,AIxCC),由 DARPA 牵头。该竞赛旨在利用人工智能技术快速识别和修复关键软件漏洞,以保障美国关键软件的安全。

四、对我国的启示

美国漏洞治理所面临的挑战也是我国加强漏洞治理需要思考的问题。同时,参考和借鉴美国所采取的改进举措,对我国强化漏洞治理体系,提高能力具有一定的参考作用。

一是高度重视漏洞的重要地位,进一步发挥国家级漏洞库的基础性作用。随着漏洞作为战略资源的重要性日益凸显,美国更加重视漏洞在网络安全中的基础性作用。2024 年 4 月,来自 Google、OpenSSF 等组织的 50 名网络安全专业人士组成的团体签署了一封公开信,并发送给美国商务部长吉娜·雷蒙多(Gina Raimondo),敦促国会对国家漏洞持续存在的问题进行调查,建议国会将国家级漏洞库视为关键基础设施和基本服务,提供更多资金和国家资源保障。国家级漏洞库是国家网络安全能力的重要支柱,我国应进一步建立健全漏洞管理的政策法规,统筹不同国家级漏洞库的建设,形成合力,提升我国漏洞治理的基础实力。

二是提升漏洞治理能力,加强对“人工智能+漏洞”的研究与运用。充分利用新一代人工智能技术赋能漏洞治理能力,将人工智能技术引入漏洞治理的全流程,形成智能发现、报告、披露,提升漏洞治理效力。

三是加强产业界与行业主管部门的沟通协调,开展协同治理。在当前日益严峻的网络安全形势下,必须树立漏洞协同治理的理念,特别是加强产业界与行业主管部门的沟通与协调。一方面,产业界要充分发挥其技术优势,及时报告漏洞信息,协助行业主管部门及时分析漏洞风险,以提升我国漏洞治理的精度。另一方面,行业主管部门要积极引导产业界参与,推动我国漏洞治理体系和能力的现代化发展,培育健康的产业生态环境。

(本文刊登于《中国信息安全》杂志2024年第5期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。