那些与漏洞对抗的“修复者联盟”
|
上一篇文章里提到,随着网络技术的不断发展,漏洞也会以各种各样的形式出现。面对数量如此庞大的漏洞,哪些组织或哪些开发者在默默对抗呢?今天就给大家慢慢阐述这些安全领域的“漏洞修复联盟”。 早期的安全组织 通过推测,我们很自然地联想到漏洞数量在不断增加,下面可以从数据上进行求证。查阅CVE-detail官方网站发布的CVE历史漏洞数量,可以看出从2011年至2016年基本维持在6000左右,2016年后年度漏洞数量突增至万。深挖cve-detail的漏洞贡献排名,可以看到“漏洞修复联盟”的几个核心成员Microsoft、Oracle、Apple、Cisco等出现,并且在每年的贡献者漏洞数量领先。同时可见其他伙伴也在加大对安全的投入,如IBM、Debian、Google、huawei等。 那么最早是怎么创建这个“漏洞修复联盟”的呢?其实早在1990年就出现了一个论坛“FIRST”(事件响应与安全团队论坛),至此“联盟”正式点燃。论坛的宗旨是致力于协同全球的组织和运营商,一起应对一系列连续不断的、与安全有关的攻击和事件。这里引用论坛中写到的创立背景: “FIRST是事件响应和安全团队论坛。FIRST成立的想法可以追溯到1989年,也就是在臭名昭著的互联网蠕虫之后,CERT(r)协调中心成立仅仅一年之后。当时,事件不仅影响到一个封闭的用户组或组织,而且影响到任何数量的互联网互联网络。从那时起,就共同关心的问题(如新的漏洞或广泛的攻击)进行信息交流与合作,特别是对核心系统(如DNS服务器或作为关键基础设施的互联网)而言,是安全和事件响应团队的关键问题。自1990年FIRST成立以来,其成员已经解决了几乎连续不断的一系列与安全有关的攻击和事件,包括处理成千上万的安全漏洞,这些漏洞影响到全世界几乎由不断增长的互联网连接的数百万计算机系统和网络。” 由此可以看出FIRST作为业界早期的老大哥,担任了“联盟”的C位,Google 、Cisco、Apple、IBM在随后加入并成为安全领域捍卫者的一员。直到今天,FIRST仍是全球公认的漏洞协调/安全事件响应的领导者组织。 组织协同 庞大的“联盟”,需要更有效的组织运作,那它是怎么运作的呢?我们就漏洞披露这一点进行说明。 在早期,FIRST重点针对的双边协调,即一名研究人员和一名供应商之间,通过最直接的沟通方式达成一致后,对外进行漏洞公开披露。但随着组织成员的不断增加,漏洞披露已不再单一,现在更多的是多方协调和披露的方式,往往参与这个逮捕过程的不仅仅是单一个体,而是多方共同协作。为帮助改善跨不同利益相关者社区的多方漏洞协调,FIRST发布了官方指南《FIRST多方漏洞协调和披露的准则与实践-v1.1》,通过阅读漏洞披露指南可以对整个协同模式进行核心画像。文中提到一个核心的运作方式,如下图(来自FIRST官网):
单看此图可能不太好理解,我们将上图的角色带入到实际案例中,会变成这样: 发现漏洞的市民A(发现者)迅速将漏洞告知给警局(厂商),局长下令警长(运营商)出动,但第三方的蝙蝠侠(协助者)同时也出动了。三方共同解决漏洞场景出现,进入合作模式管道。在三方共同努力解决后,漏洞信息告知给用户。 咋看流程甚是简单网站安全联盟,但实际操作后发现并不容易。就像电影或者电视剧里面一样,第三方的蝙蝠侠可能提前出动,让警局陷入被动;市民A不选择告知而是直接公开,漏洞引发攻击者兴趣并开始攻击警局;警局无法彻底解决,只能采用临时方案规避漏洞直至最后彻底修复。像这样的场景还有很多,好在官方指南给我们都逐一提供了建议和方案,感兴趣的小伙伴可以详细阅读披露指南。 同时指南也指出,抓捕漏洞只是核心的一环,进一步深入合作还需要更多的努力,并对“联盟”成员提出了明确的建议: 1、建立良好的流程和关系基础; 2、维护清晰且持续的沟通渠道; 3、建立并维持信任关系;
4、为利益相关方保证最小程度的曝光; 5、快速响应披露。 写在最后 上文提到如此多的运营商和组织,虽然每年为漏洞修复提供了近万个的修复补丁,但最终在实际产品或版本上的修复率并不尽如人意。产品自有产品的节奏,更多的厂商或运营商在最大限度地保障代码修复,但真正落在全市场的产品上,仍是一个挑战。产品修复率的提升会是运营商的下一个目标,也会是安全领域关注的课题。 最后,各位请不要因漏洞增长而感到过多不安,正如强大的魔法师吉安娜曾说过“力量本身并不可怕,可怕的是他的主人。”漏洞实际上只是为攻击提供了一个入口,整个业界面临的燃烧军团其实是攻击者、黑产、破坏分子等利用漏洞进行非法谋利者们。我们有越来越多的个人和组织投入安全领域,并协同起来共同应对安全风险。干漏洞,我们可是认真的! 参考资料: 事件响应和安全团队论坛(FIRST)first.org/ FIRST多方漏洞披露指南 first.org/global/sigs/vulnerability-coordination/multiparty/guidelines-v1.1 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
