長期以來,由于缺乏透明規(guī)范的全球性 VDP(漏洞披露策略)白帽子安全研究專家和滲透測試人員的職業(yè)風(fēng)險居高不下,導(dǎo)致政府和企業(yè)網(wǎng)絡(luò)安全防御與黑客攻擊力的對抗嚴(yán)重失衡,安全風(fēng)險不斷累積。數(shù)天前獲得美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布的聯(lián)邦政府漏洞披露策略草案背書后,IESG 的全球性網(wǎng)絡(luò)漏洞披露標(biāo)準(zhǔn) Security.txt 草案也進(jìn)入了最后一輪意見征詢階段。
白帽子柳暗花明
近日,互聯(lián)網(wǎng)工程指導(dǎo)小組 (IESG) 發(fā)布了網(wǎng)絡(luò)漏洞披露標(biāo)準(zhǔn) Security.txt 的最終征求意見稿,該網(wǎng)絡(luò)安全策略旨在使研究人員盡可能簡化漏洞披露過程。
廣受安全業(yè)界關(guān)注的 IESG 漏洞披露標(biāo)準(zhǔn)很快將成為所有網(wǎng)站的推薦漏洞披露報告標(biāo)準(zhǔn)。
進(jìn)入最終意見征求階段后,對該標(biāo)準(zhǔn)感興趣的各方還有不到一個月的時間提交評論。
標(biāo)準(zhǔn)提案 “Web安全策略方法” 旨在改善獨立安全研究人員當(dāng)前用來披露 Web 服務(wù)漏洞的通信渠道。
該標(biāo)準(zhǔn)的實施也非常簡單:組織和站點管理員只需要將標(biāo)準(zhǔn)化文件 Security.txt 放入站點指定目錄路徑中。安全研究人員可以輕松地通過這個文件與公司聯(lián)系。
該標(biāo)準(zhǔn)提案的 GitHub 頁面顯示:Security.txt 文件為安全研究人員提供了如何報告安全問題的清晰指南,并允許定義漏洞賞金計劃的范圍。
第一時間找到聯(lián)絡(luò)人
眾所周知,對于安全研究人員而言,漏洞披露過程大概率會是一場噩夢,由于缺乏清晰(安全)的規(guī)程規(guī)范,研究者常常無法及時穩(wěn)妥地將安全漏洞告知組織。
安全研究員斯科特·赫爾姆 (Scott Helme) 在去年發(fā)表的一篇博客中評論說:發(fā)現(xiàn)漏洞后企業(yè)需要迅速做出反應(yīng)來解決,但無法及時找到接口聯(lián)系人拖慢了整個流程。
結(jié)果是大量漏洞沒有得到及時報告,而安全團(tuán)隊成了在隔三岔五的零日漏洞和數(shù)據(jù)泄露事故中疲于奔命的消防隊。
該提案指出,Security.txt 旨在成為組織漏洞披露政策 (VDP) 的 “一站式服務(wù)”,提供不僅限于電子郵件的聯(lián)系信息。
文件名為Security.txt,文件路徑統(tǒng)一為:/.well-known/security.txt。為了兼容遺留系統(tǒng),Security.txt文件也可以放在頂級目錄中。
簡單得就像純文本
Ed.Foudil 于 2017 年首次提出了 Security.txt 標(biāo)準(zhǔn)的草案,并已由維護(hù) VDP 的組織在網(wǎng)站上實施。
國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 也在最近發(fā)布的指令中要求聯(lián)邦機(jī)構(gòu)發(fā)布 VDP 時強制性部署 Security.txt。
CISA重申,Security.txt 文件應(yīng)在代理機(jī)構(gòu)主要 .gov 域的 /.well-known/ 路徑中發(fā)布。
該文件還將幫助美國網(wǎng)絡(luò)安全機(jī)構(gòu)了解誰遵守了目前正在征求意見的指令。
IESG 的征集呼吁于 2020 年 1 月 6 日結(jié)束。
感興趣的讀者可以在 Security.txt 項目網(wǎng)站上找到更多信息。
白帽子專家紛紛吐槽
雖然大多數(shù)安全人士對網(wǎng)絡(luò)漏洞披露標(biāo)準(zhǔn)表示支持,但是也有不少白帽子專家認(rèn)為該標(biāo)準(zhǔn)存在嚴(yán)重問題。
安全牛查閱了 IETF 標(biāo)準(zhǔn)提案的公開評審意見列表,發(fā)現(xiàn)不少言辭激烈的批評和吐槽。例如一位安全人士指出,Security.txt 的安裝目錄位于 Web服務(wù)器中,但是對于一個已經(jīng)被黑客入侵的服務(wù)器,安全專家很難相信該服務(wù)器中的任何一個文件沒有被篡改。該專家認(rèn)為 VDP 相關(guān)文件應(yīng)該存放于相對 Web 服務(wù)器獨立的其他域中,例如 DNS,甚至 twitter 和 LinkedIn 這樣的社交平臺賬號也可以考慮。