美国国家安全局(NSA)公布了有关其漏洞披露政策的一些统计数据以及指导原则,但有专家表示他们没有公布重要的细节。
网站详细介绍了NSA的漏洞披露政策,这又引出了这样一个问题:NSA是否会披露其发现的漏洞?根据NSA表示,这个问题的答案在大部分时候是肯定的,因为负责任的披露“显然符合国家利益”。但NSA也声称,披露的决策其实非常困难和复杂。
“对于披露漏洞的决定,既有优点又有缺点,并且,在及时披露和在有限时间内不公布某些漏洞之间的权衡会带来显著的后果,”NSA写道,“披露漏洞可能意味着我们放弃了机会去收集重要外国情报,而这些情报可能帮助我们阻止恐怖袭击,防止国家知识财产被盗窃,或者发现被用来攻击我们网络的更危险的漏洞。”
曾在美国国防部和NSA任职、现任Pulse Secure公司战略高级副总裁David Goldschlag表示,在这件事情上,他赞同NSA的做法。
“虽然我认为应该完全披露漏洞让供应商可以解决这些问题,但我们需要知道的是,NSA具有双重使命:收集信息和保护信息,”Goldschlag表示,“有时候,这两个使命会有所冲突,所以NSA需要制定政策使其能够完成工作。”NSA称,从历史上来看,在91%的情况下,他们发现的漏洞会经过该机构的内部审核程序,并披露给供应商。在其余的9%的情况中,漏洞在NSA披露之前就已经被供应商修复,或者出于国家安全原因而没有披露。
专家指出,这一解释并没有透露NSA已经披露的具体漏洞数量、披露的时限或者所披露的漏洞的严重程度,所以我们没有办法知道是否有披露零日漏洞。
然而,Rook Security公司安全运营负责人Tom Gorup表示,NSA公布的百分比数据提出了更多问题,而不是回答问题。
“我们不知道NSA正在应对的漏洞数量或者所涵盖的时间段,这是5年、10年还是20年的数量?我们谈论的是1000、10000还是100000个漏洞?”Gorup问道,“如果没有原始数据,不可能确定披露的时间(TTD),并且最终的指标也会受到影响。我希望看到TTD指标,披露漏洞的原始数量以及这个指标涵盖哪个时间段。”
Gorup表示,对于私营行业而言,漏洞存在几个月或者几年可能带来巨大的风险,因此我们应该要求NSA提供更多的透明度。
“我完全理解收集情报的需要,因为这有利于国家安全,”Gorup表示,“我们需要相信我们的政府会做出正确的决定,但我们也必须对基本的过程有某种验证和了解。我们很难相信其他人没有或不会发现未披露的漏洞。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]
-
勒索软件给事件响应带来压力
研究表明,随着网络罪犯将注意力转向勒索软件攻击,2017年泄露数据记录数量下降近25%。 根据2018年IBM […]
-
企业有望通过安全分析来应对网络威胁
几十年以来,安全领域已经发生了巨大变化。企业不仅需要保护办公室资产和股票等有形资产,同时,随着企业越来越依靠技 […]
-
2018:自动化攻击加剧,拿什么来保障安全最后一公里?
自动化攻击的新趋势,给2018年企业的安全防护带来了前所未有的巨大挑战。对于越来越智能、呈现自主决策和军团化的自动化攻击,企业需要重新审视现有的安全防御响应系统,来保障最后一公里的安全。