欧洲网络与信息安全局(ENISA)于 2018 年 12 月发布了《漏洞披露经济学》报告,在漏洞披露行为主体、流程类型、市场、性质等相关概念的基础上,将经济学概念和特征应用到信息安全领域,并进一步详细分析了漏洞披露流程中,个人、组织、结构和规范等不同层面对漏洞披露行为的激励作用,继而提出漏洞披露生态环境建设。中国在漏洞披露领域的法律保障、制度建设以及具体实践都存在可改进空间,该报告对中国建立出更合乎国情的漏洞披露机制具有借鉴意义。
研究背景
近年来,发生了大量备受关注的漏洞披露和漏洞利用事件,诸如 WannaCry 和 Petya/NotPetya恶意软件攻击等,在欧洲甚至全球范围内引起深刻的经济和社会影响。漏洞披露是指在存在软硬件及服务中的脆弱点被发现、报告和修复的全过程,部分漏洞通过正当程序实现有责任的披露。但是更多漏洞直到被利用、引发实质性的网络攻击才为公众所知晓,为此,网络安全界不得不思考采用何种方式披露更为恰当。漏洞披露过程中的不同主体受制于一系列经济因素和激励措施,这些经济学意义常被忽视或不被理解,因此研究漏洞的经济学意义将有助于对漏洞的披露行为作出解释。继《2015 年漏洞披露良好实践指南》发布后,欧洲网络与信息安全局 (ENISA) 又发布了《漏洞披露经济学》,这份报告基于案头研究、文献回顾、人物访谈及实证研究等,旨在概要介绍和挖掘与漏洞披露相关的成本、激励和影响。
漏洞披露的概述
软硬件和在线服务中的漏洞无法完全根除,设计和开发缺陷、配置错误、管理失责、运营环境变化等因素都会导致漏洞产生。在互联互通的环境中,大众软件、硬件或服务中的漏洞对系统和社会可能产生巨大风险,因而需要对漏洞进行充分识别和修补。目前,与漏洞管理相关的 ISO 标准有两项:ISO/IEC29147(漏洞披露)和 ISO/IEC30111(漏洞处理流程)。
漏洞披露中的行为主体
漏洞披露流程中主要涉及四类主体(图 1)
•用户:软硬件和服务的使用者,可能是个人、组织或者政府。
•厂商:该类人群包括软硬件和服务的开发者、制造商和厂商,也包括组成供应链的中间商。
•发现人:识别并报告漏洞的群体,有时也指报告者或研究人员。
•协调人:充当发现人和厂商两者中间人角色的可信组织,确保漏洞得到负责任的披露和修补,知名的协调人有各国的计算机应急响应小组(CERTs)。
此外,在漏洞披露流程中,还存在非直接参与的次要行为主体,包括:
•政府:政府在漏洞披露流程中充当的角色较为复杂,可以是发现人、厂商和协调人,也可能出于国家安全目的获取并保有漏洞,政府还能制定法律法规影响漏洞披露流程。
•媒体:媒体对漏洞进行报道,参与漏洞信息的传播。
•敌对主体:有组织犯罪集团或其他敌对主体可能会利用漏洞,或者出于不法目的而参与漏洞披露过程。
漏洞披露流程类型
有三种漏洞披露类型:完全披露、有限披露和不披露。
•完全披露 : 发现人不等协调人或厂商采取行动,也不与其协商,便将识别的漏洞信息全部公布于众。
•有限披露 : 发现人与协调人或厂商协作,共同降低已发现漏洞的风险。研发补丁后,协调人或厂商将漏洞信息连同修补措施一起发布。有限披露也用来指负责任的披露或者协同披露(CVD)。
•不披露 : 在黑市交易漏洞价格高于负责任披露所得报酬的情况下,个体发现人选择不公开披露漏洞以换取报酬。还有一种不披露的情况是,政府提倡对漏洞进行分析和评估,并出于国家安全的目的,选择部分漏洞作为机密,该情形也被称为漏洞公平裁决程序。
本研究主要针对协同漏洞披露(CVD),CVD 旨在确保厂商处理已发现漏洞 , 最小化漏洞带来的风险 , 提供完全信息以协助用户对系统潜在风险进行评估 , 设立目标以鼓励行为主体和利益相关者之间积极沟通和协调。CVD 政策易与漏洞悬赏计划混淆,前者是当前业界最佳实践机制,使安全研究人员或者漏洞发现人通过专门的、体系化的漏洞汇报途径向机构提交潜在的漏洞。而漏洞悬赏计划指机构在确定和划分项目范围并开放部分信息基础设施后,安全研究人员尝试攻击并发现可被验证的漏洞,来换取“奖励”,悬赏计划是 CVD 政策的补充,但不能替代 CVD 政策。此外,机构还应当对其他合适的网络安全措施和其他形式的安全测试进行投资,比如设计即安全、渗透性测试、安全审计等。但这些也同样不能替代现行的 CVD 政策。
漏洞市场
漏洞市场可能受到监管,也可能毫无管制。未受监管的市场规则和限制很少,往往出价最高者获得漏洞。受监管的市场则完全不同,买方通常需要遵守一整套规则和流程,而交易限定在特定客户群体中(比如只将漏洞售卖给政府)。受监管市场存在以下形式:
•协同披露市场:漏洞通过厂商或者协调人发布,发现人有可能获得财务或非财务奖励。
•垄断市场:发现人向厂商或者特定机构披露漏洞,但漏洞不会被公开披露。这可能涉及特定机构或者为政府部门工作的安全研究人员。
•漏洞奖励市场:漏洞发现人通过厂商或者可信第三方披露漏洞,以此换取财物或非财物奖酬。奖酬多寡通常与漏洞严重性和潜在安全后果正相关。
非监管市场包括:
•有限规则市场:漏洞经纪人(即漏洞买方和卖方的中间人)通常在交易完成后赚取佣金。经纪人既可以是机构也可能是个人,或许会受到某些行为准则或限制,但通常而言会将漏洞售卖给出价最高者。
•漏洞黑市:黑市是完全无监管市场,具有如下特点:卖方未知、非排他性(卖方将漏洞进行多次出售)、交易依赖于人际关系、无法保证漏洞的机密性。漏洞黑市一般存在于在线聊天室、在线网站或暗网中。
漏洞的性质
漏洞披露经济学同样受到漏洞特性的影响,影响经济考量和激励措施的漏洞特性主要有三大类:
漏洞的普遍性:首先,漏洞非常常见。近年来,已知漏洞数不断攀升,未知的漏洞数只会更多。诚然,漏洞发现的频度并非评判威胁严重性的唯一指标,毕竟不是所有漏洞都同等重要,有些漏洞可能被恶意行为利用,而有些则是已被厂商修复。
漏洞的复现率和预期寿命:漏洞的复现率是指其他安全研究人员重现漏洞的概率,这个概率不尽相同,但复现率可刺激厂商尽快修复。复现率有别于碰撞率(Collision rates,又称重叠率),后者是指两名以上安全研究人员独立发现同一漏洞。一项零日漏洞的研究发现,特定时长内碰撞率差异极大,零日漏洞的寿命和对其的利用行为持续时间较长,平均最高时长是 7 年,90 天以内中位碰撞率为 0.87%,一年的中位碰撞率为 5.76%,14 年的中位碰撞率达到 40%。碰撞率直接影响漏洞披露周期,CVD 流程越长,信息泄露、独立重现或恶意用户利用漏洞的风险就越高。
漏洞利用的成本和时间:一旦发现漏洞,就可低廉且快速地利用。漏洞利用取决于如下因素:发现漏洞的时长、开发利用的时长、采购专用设备进行开发的代价。漏洞的严重性同样会影响开发成本,但对漏洞的回报具有更大影响。漏洞的独特性则会进一步左右其自身及开发利用的价值。最后,发布漏洞信息的方式也可能影响漏洞利用(发布漏洞的论坛越受欢迎,则使用得越多)。针对已识别漏洞进行可用开发,耗时通常很短。兰德公司的研究显示,对零日漏洞进行开发利用,所需时间的中位仅为 22 天。总之,针对漏洞的开发利用频繁发生,且相对廉价快速。
信息安全的经济学
信息安全不仅局限于技术手段,其复杂性部分源于漏洞的自身特征及其内生性,也植根于信息安全的经济属性。信息安全语境背后的经济概念大部分来自古典经济学,但在信息安全领域做了适应性改造。
信息安全市场
公地悲剧
信息安全市场属于典型的“公地悲剧”。理性决策者只会考虑自身回报,因此,可以假设个体的行为仅为了实现即时的个人利益,而公共资源则有被损坏的风险,长此以往,所有相关方的利益都将遭到损害。在信息安全领域,DDoS 便是“公地悲剧”的例证。在理想世界和有效市场中,终端用户基于公共利益并维护互联网本身,理应增强设备安全性,但由于缺乏个人激励和法律规制,理性个人不会为了他人而损害自身收益、为终端设备掏钱。同理,在漏洞披露中,若开发人员和制造商无需为其产品或服务中的漏洞承担法律责任,他们不会参与 CVD 或漏洞奖励计划。
网络效应
网络效应是指产品或服务使用的人越多,则产生的价值越高。更多使用某个软件、产品或服务带来诸多收益:开发和维护方面获得更多资源、产生更多的产品信息、更多的资源投入用来保障安全性。然而,网络效应同样具有负面性,更庞大的网络无疑也更加复杂,节点增多和连接增加也扩大了潜在的攻击面,广为人知的产品和服务也将受到恶意行为主体更多的“关注”。
此外,另有两个因素对软硬件或服务的价值造成影响。其一,依循微观经济的一般逻辑,软硬件的开发通常具有较高的固定成本和逐渐降低的边际成本。其二,用户若更换技术或服务供应商时,通常面临高成本和其他障碍,这就是所谓的“锁定”状态。市场的早期进入者获益良多,降低入市时间能够获得巨大商业优势和经济回报,这导致公司更注重缩短上市时间而非提高产品安全性,最终使产品或服务安全性降低。
外部性
外部性指市场交易的结果对买卖双方之外的第三方产生的影响,而这部分影响并没有体现在市价中。软件市场相对而言更为全球化而且竞争激烈,因此,企业为保持竞争力主要关注诸如开发、市场等内部成本,减少“不必要”的其他开支,往往不会考虑增加安全性带来的额外成本。另外,软件能够在发布或者销售后再修补漏洞,因而供货商倾向于尽量缩短进入市场的时间,而非注重软件质量和安全性。当然,部署不安全的产品和系统也会产生严重的社会影响,如直接的经济损失、数据保护问题、隐私和声誉受损等,种种外部性对漏洞披露有直接影响。
信息不对称和“逆向选择”带来的次优选择
难以激励提升安全性的部分原因在于信息不对称和逆向选择。买卖双方中任意一方掌握的信息多于另一方,导致信息更少的一方在交易中做出次优选择,最终影响市场整体质量。此类逆向选择同样存在于信息安全市场。影响一般用户购买软硬件的因素有价格、使用的便利性、安全性、所提供服务的价值。用户通常难以验证厂商对于产品的广告是否真实,因而不愿意购买安全性能更好但价格更高的产品。对此解决方案之一是采用产品认证或者使用标签,以此抵消用户的信息不对称。
责任推卸
许多厂商持续开发并发布不安全软件的原因在于,他们无需为产品漏洞产生的后果负全部责任。市场中存在不同的行为主体,由谁承担何种责任并无明确共识。当漏洞被识别后,旋即产生两类成本,一类是可能的破坏造成的损失,另一类是补丁成本。厂商仅需要发布合适的补救措施,通常无需承担破坏损失。
道德风险
在信息安全市场,行为主体认为风险发生后,其他人能够共同承担后果,因而可能会接受比社会最优更严重的风险。此外,行为主体可能仅仅因为无法明确何为社会最优的安全决策而接受额外的风险。
网络安全市场持续变化的本质
信息安全市场随着技术发展不断变化,市场条件和互动由如下因素重塑:算力成本持续下降、计算复杂度提升、接入设备数量和连接度升级。漏洞披露的结果是双重的,一方面,技术更广泛使用意味着潜在的漏洞面增大。另一方面,可联网的应用程序、技术和服务不断增加,使得传统上不具备关键信息通信技术或部署能力的组织参与开发,进一步危及整个生态系统安全。
算力成本下降及复杂计算能力的提升提高了数字化水平及连接度,复杂系统越发常见,但更难保证安全。另外低成本、但复杂的 CPU用于生产简单设备带来“廉价复杂度的反常”(anomaly of cheap complexity,TomasDullien 于2018 年提出),但这也提升了保护设备的复杂性。通用 CPU 过度复杂远超设备所需,使安全性更难保障。如果只关注开发速度而忽视产品安全,含有漏洞的代码若植入产品或服务中,就构成严重的安全隐患。
这种安全挑战预计在物联网设备日趋增长的趋势下更为严重,这是因为网络 - 物理系统中的漏洞对现实世界产生影响,再就是这类系统需要长时间无干预地运行,不常进行有针对性的安全评估和补丁安装。物联网和网络物理设备的快速增长导致了各种复杂的政策挑战,现行的法律、责任、保险、消费保全等政策都要因时而变。
漏洞披露的激励与行为
漏洞披露过程由多个经济主体的行为决定,但这些经济主体之间存在竞争和利益冲突。因此,次优甚至非预期结果是普遍存在的。但是,通过不同的规制或其他激励机制,可以改变或干预这些结果。
激励的本质
与漏洞披露相关的经济决策,可通过在漏洞披露生命周期的不同节点针对不同行为主体设置激励来改变。经济上的激励通常可分为财物激励和非财物激励。就漏洞披露而言,财物激励表现为货币报酬,在漏洞悬赏计划中,发现人识别有效漏洞后获得金钱奖赏。财物激励同样影响漏洞披露过程,比如行为主体受到财物激励,选择不披露已识别的漏洞,而是通过漏洞经纪人或市场进行售卖。
相反,非财物激励指应对行为产生影响但与金钱脱钩的考虑因素或特征,如符合社会规范或价值观,行为主体的做法基于道德理想,或基于对预期行为的认知而进行自我约束。因此,财物激励通常对成就、结果进行奖励,而非财物激励通常通过自我约束或同行压力实现。
个人层面:发现人行为
任何漏洞披露流程都需要发现人。发现人既可能属于厂商,或是由厂商雇用的外部人,也可能和厂商全无关系,后两类可以是各种漏洞研究团队、机构及独立的安全研究人员。
内在激励是漏洞披露过程中发现人行为的主要驱动因素
财物激励在漏洞悬赏计划中发挥着尤为突出的作用,它们是激励发现人社群参与的惯常做法。尽管如此,大多数发现人参与漏洞披露的主要动机还是技术挑战,证明自己能力强于同行。流行的漏洞悬赏计划广泛使用积分和榜单,研究人员可以在这里为排名和其他成就进行竞争。此外,许多发现人由于个人道德或责任感,也参与了漏洞披露过程。在某些情况下,这种责任感对发现人而言,可能比财物激励更为重要。在设计 CVD 或漏洞悬赏计划时,应该考虑发现人的动机。应当特别注意的是,悬赏计划存在明显的奖酬边际收益递减的情况,通过运行无经济补偿的 CVD 程序,组织可以从更广泛的安全研究社群中受益。
发现人受一些外部经济因素和激励措施驱动
一些不受发现人直接控制的因素同样会影响其在漏洞披露过程中的行为和选择,这些因素包括:
惧怕遭受敌视或惩罚:人们往往习惯性地质疑发现人的动机是否单纯。因此,许多发现人报告漏洞的结果是被无视,或者遭到厂商的敌意,甚至威胁起诉。因此,使发现人担心受到惩罚的漏洞披露过程可能会对漏洞的识别、披露和消减起到负面作用。
法律壁垒或不确定性:参与漏洞披露的安全研究人员通常处于法律的灰色地带,尤其是在没有明确的漏洞识别或披露流程的情况下更是如此。大多数安全研究人员并没有受过法律教育,因此很难考量参与特定漏洞披露过程是否对个人有法律影响,这可能加剧由于发现人和厂商之间存在信息不对称带来的次优选择(即逆向选择)。如果发现人没有法律保护,厂商可能会将已发现漏洞的责任转嫁给安全研究人员,以避免对该漏洞所产生的任何成本负责。美国有一些比较好的举措,可为安全研究人员提供更好的法律保障措施。这些举措旨在改善研究人员和项目拥有者的安全港,以及法律术语的可读性。
漏洞披露流程的渠道、效率和质量:必须存在适当的漏洞披露途径,以激励发现人的积极行为。漏洞披露流程渠道可采用多种形式构建。资源较多的大型组织可以选择开发内部的漏洞识别和披露机制。较小的组织更有可能通过进行外包、订立合同或面向公众的漏洞悬赏计划来寻求外部专家的帮助。
除了广泛建立漏洞披露途径外,漏洞披露流程的制度化和质量也会影响发现人的认知及其与特定厂商或协调人互动的意愿。漏洞披露流程必须公开、易于理解,并为披露流程的范围、要求和期望提供明确的指导。明确的制度化政策可以帮助发现人与厂商打交道时减轻顾虑。
厂商或协调人沟通机制的结构和质量:与漏洞披露过程相关,沟通的流程和质量是另一个可以对发现人行为产生积极影响的潜在因素。行为主体之间清晰、安全和有效的沟通对于成功的漏洞披露过程至关重要。促进漏洞披露过程中高效沟通的措施有:设立安全的报告渠道、可匿名报告、抓住有用信息提高沟通效率以及防止不成熟信息泄露等。
组织层面:着眼点和激励因素
私营和公共部门在决定漏洞披露时,需要考虑信息安全的经济影响,即如何在资源有限的情况下,回应监管和用户的需求。
组织参与漏洞披露的动机
组织通常受经济利益驱动而参与披露过程,参与的项目主要是 CVD 和漏洞悬赏计划。其动机具体包括:
提高对信息安全问题的认识:组织参与CVD 或漏洞悬赏计划,有助于提高组织内部对信息安全问题的认识,也有助于促进社会对信息安全问题重要性的认识。
响应客户需求:客户更青睐于投入于安全性或者在漏洞披露方面领先的企业。
道德或社会责任的原因:企业参与漏洞披露,是由于他们认为帮助提升社会整体安全性或促进社会福利是基于道德或社会责任。
阻碍参与漏洞披露的因素
但仍然有很多组织并不参与漏洞披露活动,阻碍其参与漏洞披露活动的因素包括:
考虑漏洞披露的成本:部分企业认为对CVD 的投资并不能产生足够的回报,或者认为CVD 或者漏洞悬赏计划的成本太高。这与组织的规模、漏洞披露计划的范围、组织技术能力相关。此外,大量无效报告导致的额外工作量,浪费分析师的宝贵时间,也是组织考虑的成本因素之一。
缺乏对漏洞披露效益的认识:许多组织很难理解 CVD 或者漏洞悬赏计划的潜在益处。此外,组织也面临“先行者”困境,都不愿意成为实施 CVD 或漏洞悬赏计划的“吃螃蟹者”。
缺少管理层的支持:管理层可能缺乏对安全问题的深刻认识,或者对安全社区不信任并且不愿意分享有关潜在漏洞的信息。
缺乏设计、实施和运行漏洞披露计划的能力:组织必须具备足够的人员、技术知识和能力,才能保证 CVD 和漏洞悬赏计划的进行。
法律壁垒及其不确定性:组织可能担心安全研究人员做出不法行为,如破坏系统完整性、收集商业敏感信息和知识产权、向第三方和竞争对手及公众公布信息等。尤其是在外国司法管辖区或与外国组织安全人员打交道时,漏洞披露充满法律风险。
公开披露漏洞给组织自身带来安全风险。如可能泄露组织敏感业务实践和技术细节,因此组织选择不公开披露漏洞。
政府在漏洞披露中的作用
政府具备多重角色,如可以作为漏洞协调人、披露计划的制订者和运营者;也可以是漏洞的发现人、参与安全研究或安全测试;还可以是漏洞买方和持有人,即出于国防、国家安全或情报服务目的,通过定期和持续进行的信息安全工作,或特别的投资,来进行漏洞识别工作,但同时为了情报活动或增强网络攻击能力,可能决定不公开或延迟披露漏洞;此外,政府还可以作为立法者,以及法律政策的执行者,可对漏洞披露活动直接实施影响,当然,在国家层面设立 CVD 政策至关重要。
结构层面:着眼点和激励因素
除了信息安全的经济因素外,漏洞披露经济学也受到许多结构因素的影响。
立法在漏洞披露格局中发挥着核心作用
立法通常是指由国家、区域或超国家主体正式通过的法律,这类法律既要适应当代信息社会需要,也要在安全和责任之间平衡。因此法规可能涉及管制漏洞信息、限制软、硬件错误需承担的责任、禁止软件的逆向工程,或者严禁出口敏感技术。目前全球没有专门针对漏洞披露的立法,但有许多立法,特别是与未经授权访问计算机系统和网络有关的立法,对漏洞披露过程中的行为有直接影响。如果立法清楚概述在漏洞识别过程中法律允许的行为,则可使安全研究人员宽心,使其能够在不冒法律风险的情况下进行漏洞挖掘活动。
在欧洲各司法管辖区及欧盟层面,欧洲政策研究中心(CEPS)特别工作小组关于 CVD 的报告占有重要地位。CEPS 工作组提出的建议包括修订关于信息系统攻击的 2013/40 / EU 指令(“欧盟网络犯罪指令”),以支持 CVD。在执行《网络信息系统安全指令》(NIS 指令)《一般数据保护条例》(GDPR)以及其他国家立法和非立法活动时考虑 CVD。CEPS 工作组也认识到对研究人员进行法律保护(安全港)的重要性,需要确保安全研究人员的法律责任得到澄清,使他们能够履行职责而不用担心被起诉。
关于 CVD 法律框架存在争议的是,是否要求厂商强制实施 CVD。一方面,法律要求促成厂商对 CVD 策略的采用,并帮助报告和修复已发现的漏洞。另一方面,强制性 CVD 政策也可能对漏洞披露生态系统产生不利影响,组织或技术能力不太成熟的组织采用 CVD 政策可能会适得其反,如报告漏洞但没办法跟进或修复,或者发现人遇到难以沟通或充满敌意的厂商,都可能导致研究人员不愿再参与 CVD过程。
监管和责任框架可以使漏洞披露过程结构化并激励预期行为
监管可以是政府或企业级,且以多种形式存在,包括市场监管和责任框架。受监管的市场更能够激励安全研究人员识别和负责任地进行漏洞披露,以及增加在漏洞公开之前就将其修复的机会。但漏洞市场,特别是无监管市场,也可能导致负面激励或恶果,比如更多已识别和披露的漏洞可能导致安全事件和攻击增加;在漏洞披露过程中引入私营中介机构,可能会让发现人和厂商之间的关系变得更加复杂或丧失信任;行为主体还可能被鼓励开发带有漏洞的产品或服务,再在漏洞市场中出售漏洞,也可能会过多释放漏洞信息以便让他们的服务和市场更有价值等。
责任框架可以通过降低合规系统的责任或增加不安全系统的责任水平来帮助系统变得更安全,从而减少信息安全市场中的外部效应。从理论上讲,责任框架也可提高漏洞修复的速度和质量,因为厂商会设法避免漏洞被利用。对于将要运行的物联网系统,责任框架更为重要,但责任框架及消除道德风险也存在难点,即在如今复杂的供应链体系中,如何将漏洞与潜在损失相联系并度量出来。欧盟已有的法规,如“Regulation (EU) No 996/2010”和“Regulation(EU) 376/2014”等,可以作为 CVD 和漏洞悬赏计划法律和监管保障的参照对象。
保险是能影响行为的结构性激励
网络安全保险是保险领域相对较新的应用,通常指旨在解决因网络攻击或事件导致的第一方和第三方损失的保险政策。理论文献表明,网络保险的供应水平与信息安全的其他经济因素具有强相关作用。网络安全保险包括五个因素:网络环境(如网络效应和外部性)、供需方因素(如风险规避、企业的效用函数和保险业的竞争格局)、信息结构(如逆向选择和道德风险)和组织环境(如监管激励)。
网络安全保险还可以影响漏洞披露过程中的行为,作用如下:
促进漏洞披露(和安全性):如果保险公司强制要求投保方制定和采用结构化漏洞披露流程或计划,并将其作为保险责任范围,则预期会产生积极的社会效益。
降低整体安全性:如果网络保险价格便宜,企业可能不太愿意提供足够的信息安全控制举措来防范损失,而是间接将安全成本转嫁给保险公司,这可能会降低信息安全市场整体的安全性。反之,如果保险成本高昂,企业可能会进一步投资于信息安全控制,而不是依赖保险或降低其保费成本。因此,网络安全保险的价格和覆盖范围可能对漏洞披露程序产生直接影响。
规范层面:着眼点和激励因素
行业道德、优秀实践或规范等都可以作为漏洞披露过程中其他行为体的结构性激励。诸如IEEE 道德规范、网络安全技术协议(Cybersecurity Tech Accord )等专业行为准则,以及促进网络空间负责任行为的企业倡议可能会激励整个信息安全市场采取积极行为。
在漏洞披露过程中可以帮助激励积极行为的其他因素是优秀实践、标准化流程及标准等。诸 如“ISO / IEC 29147:漏洞披露” 和“ISO /IEC 30111:漏洞处理流程”等标准提供的漏洞披露的权威参考文档,CERT 协调中心(CERT /CC)的优秀实践文档“CERT 协调漏洞披露指南”和事件响应和安全团队论坛(FIRST)的“多方漏洞协调和披露指南和实践”等,这些都有助于设定漏洞披露流程中的预期行为。漏洞披露语言的标准化和自愿标准的采用也可能有助于减少研究人员和组织的信息负担,提高认识并降低交易成本。
此外,其他信息安全相关标准或框架对于漏洞披露流程重要性的确认,可能会进一步激励组织实施和运行漏洞披露流程。例如,美国国家标准与技术研究院(NIST)在改进关键基础设施网络安全框架中纳入漏洞披露流程,这可能会影响美国联邦当局对漏洞披露的采纳和使用。在欧洲,欧盟自由和开源软件审计社群(EU-FOSSA)计划也体现出欧洲机构对 CVD的积极支持,其中包括针对开源软件中的漏洞的奖励计划。
漏洞披露的新趋势
近年来,漏洞悬赏计划的流行和参与度急剧上升。漏洞悬赏计划有助于提高人们对漏洞披露的认识,并可能促成漏洞披露的“正常化”,越来越多的组织积极参与到安全社群。它还增加并改善了安全社群和厂商之间的互动,促进了两个群体之间的相互理解。此类计划增加的金钱报酬也可以激励新一代信息安全专业人员,有助于解决专业人员短缺情况。漏洞悬赏计划在信息共享、能力建设和培训方面积极回馈社群,有助于更广泛信息安全生态系统的良性运作。但悬赏计划的问题在于赏金的设置,如 Bugcrowd 的 P1 高级漏洞标价为 1.5 万美元,但比不过黑灰市场,根据兰德公司研究,一个高等级零日漏洞在黑市价格在 3万至 5 万美元,而在灰市或政府市场则可卖到 5万到 30 万美元。漏洞的定价也是难题,受到下列因素影响:预期影响、发现难易程度、出现频度,攻防类属性。
另外,对于漏洞悬赏计划的重要性如何影响信息安全和漏洞披露环境,也存在一些问题。漏洞悬赏计划可能对实际的安全影响有限,因为大多数程序旨在解决非关键系统中看似低级别或常见的漏洞。漏洞悬赏计划潜在合理性之一(即吸引更广泛的安全研究社群成员识别漏洞)也对可以提供哪些应用程序、系统和服务进行半公开测试提出了实际限制。这意味着漏洞赏金活动的很大一部分用于解决已经众所周知且可能不那么关键的漏洞,而不是解决当前ICT 生态系统中更严重的结构性问题。
更多使用漏洞悬赏计划也可能对信息安全研究环境产生溢出效应,因为漏洞悬赏计划只有向发现人(而不是其他促成这一发现的研究人员)提供奖励。漏洞赏金平台本身也是经济行为主体,受其自身的商业激励,可能做出的决策并非最益于社会。最重要的是,如果研究人员越来越多地要求或期望获得报告安全漏洞的金钱奖励,或者如果漏洞奖励主要作为私人计划运作,那么漏洞赏金可能会导致参与无报酬 CVD 计划的人数减少。
主要结论和建议
本研究还通过对熔断和幽灵漏洞、永恒之蓝漏洞的发现和披露进行了实证检验,得到了若干重要结论。
首先,研究表明漏洞披露,尤其是 CVD 在现代社会中的重要性。广泛使用的软硬件中存在的漏洞可能会在全球范围内造成巨大的社会危害,因此需要建立相应的流程规范来进行充分地识别、报告、接收、分类和修复漏洞,各国政府也可考虑采用 CVD 政策,并着手研讨如何实现政府漏洞披露决策中的最佳路径。
研究还揭示将漏洞披露作为生态系统来建设的重要性。CVD 过程是否成功基于发现方和供应方(还包括协调方)之间的关系。因此,漏洞披露的所有行为主体都应当认识到建立和运行互利机制的重要性。其中,行为群体的安全意识、能力建设及了解各方行为背后的经济动因是实现这一目标的关键因素,为行为主体提供资源、优秀实践和自愿标准是促进互利和标准化行为的重要途径。此外,沟通技巧在CVD 中也至关重要。这种基于生态系统的思维模式也应该扩展到供应方和协调方对待发现方的方式上。最关键的是,必须要建立并明确保障安全研究人员的安全港政策和法律保障措施,来提高发现方的待遇并完善 CVD 全体生态系统。
最后,该研究认识到漏洞披露应是更大的信息安全生态系统的一部分,并鼓励不断努力提高软硬件的质量和安全性,以减少部署中的漏洞数量。应对长期安全研究的持续投入,尽量减少如设计缺陷或协议漏洞等重大缺陷。
当前,我国在漏洞披露领域无论从法律保障还是制度建设,以及实践中都存在可改进空间,漏洞报告及披露存在时差,导致目前黑灰产猖獗,因此可以借鉴部分国外优秀的漏洞披露实践,总结漏洞披露的激励因素,设计出更合乎国情的漏洞披露机制,保障我国的网络安全重大安全战略的建设,建设网络安全强国。
作者
埃里克•西尔弗斯坦, 兰德公司高级分析师,研究方向为网络战、网络犯罪、全球安全等。
威廉•菲利普斯, 兰德公司研究助理,研究方向为国防基础设施、经济学等。
贾科莫•佩西•保利, 兰德公司(欧洲)国防、安全和基础设施研究组副主任,研究方向为武器扩散与控制、关键基础设施保护、军民关系等。
科斯敏•西奥巴努, 欧洲网络与信息安全局信息安全官。
编译:贺佳瀛,上海赛博网络安全产业创新研究院研究员,主要研究方向为网络空间战略、政策、前沿技术和网络安全治理领域研究。
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
