信息化觀察網(wǎng)

導(dǎo)語(yǔ)

用戶在第一時(shí)間接到的關(guān)于信息泄露和重大威脅的通知可能會(huì)是由外部機(jī)構(gòu)提供的。因此用戶只有做好相應(yīng)的準(zhǔn)備工作，才能高效快捷地響應(yīng)這些由外部提供的安全情報(bào)。

在安全研究員、執(zhí)法機(jī)構(gòu)或業(yè)務(wù)合作伙伴等外部機(jī)構(gòu)提醒系統(tǒng)存在被入侵或被破壞的危險(xiǎn)之前，組織機(jī)構(gòu)，尤其是大企業(yè)通常都不會(huì)察覺到這些危險(xiǎn)。隨著攻擊方法的不斷擴(kuò)散，開源組件的使用日益增多，以及云服務(wù)的大量采用，許多企業(yè)面臨的攻擊面也在不斷地?cái)U(kuò)大。令人尷尬的是，企業(yè)自己的安全團(tuán)隊(duì)已經(jīng)變得越來(lái)越難以發(fā)現(xiàn)這些漏洞。例如，入侵者已經(jīng)攻破了SolarWinds公司的系統(tǒng)并通過(guò)該公司的軟件不斷傳播惡意軟件，但是SolarWinds卻一直沒(méi)有察覺到，直到安全廠商FireEye向SolarWinds通報(bào)了相關(guān)漏洞，SolarWinds才如夢(mèng)初醒。

許多企業(yè)的漏洞在長(zhǎng)達(dá)數(shù)月的時(shí)間里都沒(méi)能得到修復(fù)，根本原因在于企業(yè)的內(nèi)部安全團(tuán)隊(duì)沒(méi)有發(fā)現(xiàn)它們，SolarWinds案例只是其中的一個(gè)典型案例而已。因此，近年來(lái)，接收和響應(yīng)由外部機(jī)構(gòu)提供的安全情報(bào)（無(wú)論是漏洞通知還是新的重大威脅），對(duì)于企業(yè)來(lái)說(shuō)正變得越來(lái)越重要。

負(fù)責(zé)為Coalfire公司的高層提供網(wǎng)絡(luò)策略建議的John Hellickson說(shuō)：“任何提供網(wǎng)絡(luò)產(chǎn)品或服務(wù)的企業(yè)都應(yīng)建立起一套接收和響應(yīng)機(jī)制，以便外部機(jī)構(gòu)能夠向其通報(bào)可能對(duì)其產(chǎn)品或服務(wù)產(chǎn)生影響的潛在問(wèn)題。”

以下是企業(yè)有效建立起這種能力的六個(gè)技巧：

01

制定詳細(xì)的漏洞報(bào)告制度

市場(chǎng)研究機(jī)構(gòu)IDC負(fù)責(zé)安全研究的副總裁Pete Lindstrom說(shuō)，企業(yè)應(yīng)當(dāng)確保向所有有意向其報(bào)告安全或隱私問(wèn)題的外部機(jī)構(gòu)明確告知企業(yè)的漏洞報(bào)告制度，闡明企業(yè)期望外部機(jī)構(gòu)以負(fù)責(zé)任的方式通報(bào)漏洞，并提供電子郵件地址、電話號(hào)碼等外部機(jī)構(gòu)可以向其通報(bào)安全或隱私問(wèn)題的方式。

企業(yè)還應(yīng)對(duì)外闡明其處理、調(diào)查和解決這些報(bào)告或信息的方式，并讓第三方機(jī)構(gòu)了解企業(yè)審查和解決問(wèn)題的速度或時(shí)間，以便讓他們知道自己提供的信息沒(méi)有被忽視。此外，企業(yè)還應(yīng)向第三方機(jī)構(gòu)闡明企業(yè)的政策，如果通報(bào)的情況屬實(shí)，企業(yè)將會(huì)給予獎(jiǎng)勵(lì)。如果情況不屬實(shí)，那么企業(yè)也要明確地告知他們不會(huì)對(duì)其提供的情況給予獎(jiǎng)勵(lì)。

Lindstrom說(shuō)：“管理好第三方的期望對(duì)企業(yè)的成功和聲譽(yù)至關(guān)重要。因此，當(dāng)?shù)谌较蚱髽I(yè)提供安全或隱私問(wèn)題時(shí)，準(zhǔn)確地知道他們期望得到什么，對(duì)于企業(yè)來(lái)說(shuō)很重要。”

標(biāo)準(zhǔn)普爾全球市場(chǎng)情報(bào)公司（S&P Global Market Intelligence）信息安全研究主管Scott Crawford建議，企業(yè)應(yīng)該利用ISO/IEC 30111標(biāo)準(zhǔn)中的指南來(lái)指導(dǎo)漏洞處理工作。Crawford指出，在處理第三方漏洞報(bào)告時(shí)，這些標(biāo)準(zhǔn)可為如何制定處置規(guī)則提供指導(dǎo)。

02

制定內(nèi)部漏洞管理計(jì)劃

Lindstrom稱，不管企業(yè)是否希望從外部獲得安全情報(bào)，都應(yīng)在內(nèi)部建立起應(yīng)用程序安全和漏洞管理程序。對(duì)于企業(yè)來(lái)說(shuō)，部署最佳實(shí)踐（例如定期進(jìn)行漏洞掃描，打上安全補(bǔ)丁等）非常重要，這樣可以有效降低風(fēng)險(xiǎn)，先于外部機(jī)構(gòu)發(fā)現(xiàn)各種漏洞。他說(shuō)：“企業(yè)應(yīng)積極地將部署最佳實(shí)踐作為自身安全計(jì)劃的一個(gè)重要組成部分。在考慮與外部研究人員合作之前，應(yīng)在內(nèi)部先形成合力。”

Hellickson也指出：“對(duì)于企業(yè)來(lái)說(shuō)，針對(duì)不同的示例場(chǎng)景進(jìn)行測(cè)試也是一種不錯(cuò)的做法，這樣可以發(fā)現(xiàn)一些問(wèn)題，并讓執(zhí)行團(tuán)隊(duì)和法律顧問(wèn)參與其中。桌面演練也是安全意識(shí)教育一個(gè)重要手段。”

03

在事件管理流程中建立外部安全通報(bào)響應(yīng)機(jī)制

確保企業(yè)的事件管理團(tuán)隊(duì)制定有響應(yīng)（漏洞搜尋者、業(yè)務(wù)合作伙伴、執(zhí)法部門或客戶的）外部安全通報(bào)的機(jī)制。Hellickson說(shuō)：“企業(yè)事故處理團(tuán)隊(duì)制定有響應(yīng)來(lái)自內(nèi)部安全工具、計(jì)算系統(tǒng)、網(wǎng)絡(luò)傳感器等警報(bào)的機(jī)制。和事故處理團(tuán)隊(duì)一樣，企業(yè)也需要制定調(diào)查和響應(yīng)外部安全通報(bào)的機(jī)制。所有的事件處理和響應(yīng)機(jī)制都應(yīng)有一個(gè)明確的流程，以對(duì)情報(bào)來(lái)源進(jìn)行優(yōu)先排序、審查和分類，直至問(wèn)題被解決。”

Hellickson認(rèn)為，這個(gè)機(jī)制還應(yīng)有一個(gè)內(nèi)置的升級(jí)程序，并提前明確團(tuán)隊(duì)成員在此類事件中的角色和職責(zé)?？紤]到網(wǎng)絡(luò)攻擊種類繁多，企業(yè)應(yīng)制定清晰的事件處理和響應(yīng)計(jì)劃，對(duì)事件信息接收的每個(gè)環(huán)節(jié)進(jìn)行詳細(xì)說(shuō)明并對(duì)這些信息進(jìn)行適當(dāng)分類。

Pathlock的董事長(zhǎng)Kevin Dunne指出，如果需要對(duì)生產(chǎn)代碼中的漏洞進(jìn)行響應(yīng)，那么事件管理團(tuán)隊(duì)需要做好全力以赴的準(zhǔn)備。他說(shuō)：“若不對(duì)這些漏洞加以解決，那么這些漏洞很快就會(huì)在黑市上被出售。如果補(bǔ)救不及時(shí)，那么這些漏洞就可能被不法分子利用。”

04

做好從其他部門抽調(diào)人員的準(zhǔn)備

那些用于接收外部安全通報(bào)的郵箱和電話號(hào)碼必須由IT或安全部門負(fù)責(zé)。這兩個(gè)部門要做好隨時(shí)調(diào)查和修補(bǔ)問(wèn)題的準(zhǔn)備。制定一個(gè)在需要時(shí)可快速?gòu)钠髽I(yè)其他部門抽調(diào)人手的計(jì)劃同樣非常重要。Lindstrom指出，這是因?yàn)樵谂c外部安全研究人員或漏洞搜尋者合作時(shí)，誰(shuí)都無(wú)法預(yù)測(cè)事件將會(huì)如何發(fā)展。

例如，外部研究人員可能希望通過(guò)報(bào)告漏洞而獲得獎(jiǎng)勵(lì)，但是企業(yè)沒(méi)有關(guān)于處理此類漏洞報(bào)告的明確規(guī)定。在這種情況下，安全團(tuán)隊(duì)可能需要法務(wù)部門的人員與外部研究人員進(jìn)行談判。Lindstrom說(shuō)：“漏洞報(bào)告處理不當(dāng)可能會(huì)損害企業(yè)的聲譽(yù)和品牌。讓溝通團(tuán)隊(duì)和營(yíng)銷團(tuán)隊(duì)的成員參與進(jìn)來(lái)可能會(huì)起到意想不到的效果。在漏洞報(bào)告處理方面，存在著大量的變量。整個(gè)事情的處理實(shí)際上與溝通交流和聲譽(yù)有著密切地聯(lián)系。”

05

制定漏洞托管協(xié)作/漏洞獎(jiǎng)勵(lì)計(jì)劃

大型企業(yè)和具有重要公眾形象的機(jī)構(gòu)應(yīng)考慮與HackerOne和BugCrowd等漏洞披露機(jī)構(gòu)簽約。此類計(jì)劃為外部各方提供了一種機(jī)制。在這種機(jī)制下，外部能夠以負(fù)責(zé)任的方式向企業(yè)通報(bào)他們發(fā)現(xiàn)的漏洞或隱私泄露問(wèn)題。

標(biāo)準(zhǔn)普爾全球情報(bào)公司的Crawford指出，企業(yè)可以通過(guò)漏洞通報(bào)計(jì)劃將整個(gè)漏洞發(fā)現(xiàn)工作外包出去。雖然有了這些計(jì)劃，但是企業(yè)仍然需要有良好的內(nèi)部事件響應(yīng)能力，因?yàn)樗鼈兛梢栽诔跏茧A段幫助企業(yè)接收和響應(yīng)由外部漏洞研究人員提供的信息并與之溝通交流。此外，Crawford還指出，這些項(xiàng)目可讓第三方研究人員和漏洞搜尋者有計(jì)劃的尋找企業(yè)應(yīng)用程序和服務(wù)中的漏洞，從而最大限度地降低企業(yè)面臨的風(fēng)險(xiǎn)。

Dunne說(shuō)：“如今，許多企業(yè)都對(duì)外公布了自己的漏洞賞金或漏洞發(fā)現(xiàn)計(jì)劃，以向獨(dú)立的第三方研究人員征集漏洞信息。”通常情況下，如果企業(yè)擁有一個(gè)或多個(gè)面向消費(fèi)者的服務(wù)，那么這些企業(yè)往往比較容易征集到漏洞信息。像酒店業(yè)、零售業(yè)、旅游業(yè)和消費(fèi)金融業(yè)等行業(yè)通常都會(huì)制定極具吸引力的漏洞賞金項(xiàng)目。

與此同時(shí)，Dunne還指出：“如果企業(yè)常常會(huì)收到第三方研究人員主動(dòng)提供的漏洞信息，但是卻還沒(méi)有建立起相應(yīng)的確認(rèn)機(jī)制，那么他們現(xiàn)在應(yīng)當(dāng)考慮建立起來(lái)這種機(jī)制。”即使企業(yè)不會(huì)為已識(shí)別出的漏洞提供獎(jiǎng)勵(lì)，他們也最好制定一個(gè)計(jì)劃，以響應(yīng)并確認(rèn)通報(bào)的漏洞信息，并將補(bǔ)救計(jì)劃及時(shí)告知研究人員和客戶。他說(shuō)：“如果漏洞信息已經(jīng)被通報(bào)，但是企業(yè)卻無(wú)動(dòng)于衷，那么這對(duì)企業(yè)是極為不利的。不對(duì)通報(bào)的漏洞信息進(jìn)行確認(rèn)，那么就相當(dāng)于承認(rèn)企業(yè)沒(méi)有認(rèn)真對(duì)待安全問(wèn)題，也不重視客戶的數(shù)據(jù)。”

06

征集威脅情報(bào)時(shí)需明確一些問(wèn)題

Dunne指出，與獨(dú)立的研究人員和漏洞搜尋者合作以獲取漏洞信息和威脅情報(bào)的企業(yè)應(yīng)當(dāng)認(rèn)真考慮幾個(gè)關(guān)鍵問(wèn)題。例如，企業(yè)需要決定是讓所有的人都知道企業(yè)的漏洞發(fā)現(xiàn)項(xiàng)目，還是只向特定的研究人員公開。企業(yè)必須確定自己對(duì)哪些類型的安全問(wèn)題或隱私問(wèn)題最為感興趣。企業(yè)需要提前制定計(jì)劃以對(duì)報(bào)告的安全問(wèn)題展開測(cè)試。此外，企業(yè)還要確定是在生產(chǎn)環(huán)境中展開測(cè)試，還是在獨(dú)立的模擬生產(chǎn)環(huán)境中進(jìn)行測(cè)試。

此外，企業(yè)還必須要提前明確是否愿意為漏洞信息報(bào)告者提供獎(jiǎng)勵(lì)，以及獎(jiǎng)勵(lì)金額是固定的還是根據(jù)問(wèn)題的嚴(yán)重程度進(jìn)行調(diào)整。即，這些獎(jiǎng)金是不是高于這些漏洞在黑市上的售價(jià)。

作者：本文作者Jaikumar Vijayan為一名專注于技術(shù)的自由撰稿人，專門研究關(guān)于計(jì)算機(jī)安全和隱私等課題。

原文網(wǎng)址：https://www.csoonline.com/article/3614

588/6-tips-for-receiving-and-responding-to-third-party-security-disclosures.html

編譯：陳琳華

微信排版：?？伸?/p>

排版審核：劉沙