資訊安全技術論壇

 找回密碼
 加入會員
搜索
查看: 1238|回復: 0

[報導] 企業應該如何面對外界提供的漏洞通報呢?

[複製鏈接]
發表於 2016-3-9 22:07:43 | 顯示全部樓層 |閱讀模式
本帖最後由 DannyLan 於 2016-3-12 19:44 編輯

面對各式各樣的漏洞通報資訊,受害的企業應該如何面對?國外業者對於漏洞通報已經習以為常,像是 Google Project Zero 通報趨勢科技產品漏洞,趨勢科技正面面對,就是一般國外業者面對漏洞通報的正常態度。但臺灣企業面對漏洞時,態度比較灰色,反而不利提升企業防護能力。



文/黃彥棻 | 2016-01-16 發表

網路搜尋業者 Google 有一個專門尋找各種零時差 (Zero Day) 漏洞的計畫小組 Google Project Zero,許多人也都暱稱抓蟲大隊,主要抓的就是各種軟硬體產品中,可能因為人為失誤或者各種配置失當種種原因,造成產品出現可以被駭客利用的漏洞,而這些漏洞如果在還沒有修補程式出現時就已經對外揭露,就是所謂的零時差漏洞,非常容易成為駭客攻擊和利用的缺口和漏洞。

在本周才剛發生 Google Project Zero 資安研究員 Tavis Ormandy 發現,資安公司趨勢科技提供的 PC-cillin 防毒產品中的密碼管理機制 Password Manager 的模組有問題,在臺灣時間 1 月 6 日清晨 5 點多寫信給趨勢科技後,在趨勢科技修補該程式幾天後,在臺灣時間 1 月 12 日就公布攻擊程式和漏洞報告。

從這個過程中,趨勢科技就是接受外界漏洞通報的企業。也或許這些資安公司原本就已經意識到,不可能有完美沒有缺失的產品,看趨勢科技和 Tavis Ormandy 互動的過程中,都是感謝資安研究員 Tavis Ormandy 願意提供找到的漏洞資訊,讓趨勢科技有機會作後續的產品漏洞修補。

只不過,這次讓人略有微詞的部份在於,Tavis Ormandy 在漏洞資料提供給趨勢科技作後續修補,不到一週的時間,就釋出完整報告和攻擊程式。而 Tavis Ormandy 過往也曾經有類似的經驗,他在完成跟當事者的漏洞通報後,通常在幾天之內,只要當事者看起來已經開始修補漏洞,Tavis Ormandy 覺得起來可能修補的差不多情況下,就會公布漏洞報告和攻擊程式。微軟先前也曾經抨擊,相關漏洞在使用者眾的前提下,應該要給業者更多時間,讓他們來得及讓更多使用者,及時完成漏洞修補。

但是,不論 Tavis Ormandy 的作法帶有多少爭議,可以確認的是,許多國外的廠商甚至是企業,對於漏洞通報這件事情,早已經習以為常,只要不是惡意的方式,當事者也都會以正面的態度,面對所有的漏洞通報。而這種正面面對漏洞通報的態度,都有助於業者降低資安風險。

臺灣企業面對漏洞通報態度灰色,有害企業資安防護程度

反觀臺灣企業,面對漏洞通報的態度卻大不相同,甚至,還會有被通報的當事者誤以為,只要花得起錢,甚至可以要漏洞通報的單位,隱匿受害的訊息。臺灣企業這樣的想法,反而讓臺灣漏洞通報處於一個無法被正面看待的灰色地帶。

從去年開始,有許多企業開始在中國的漏洞通報平臺:烏雲 (WooYun.org) 的臺灣地區分類中,看到許多產品、系統或網站的漏洞被公布,從去年 10 月開始,則有臺灣駭客年會 (HITCON) 轉型的臺灣駭客協會 (HIT) 的 HITCON ZeroDay 漏洞通報,協助通報漏洞在烏雲上被揭露的臺灣企業。

曾經詢問過負責 HITCON ZeroDay 漏洞通報平臺負責人,也是臺灣駭客協會常務理事翁浩正對於臺灣企業面對漏洞通報的看法。他認為,因為 HITCON 除了驗證來自烏雲的漏洞外,通報企業的漏洞的過程中,也會指導修補、協助複測,多數企業態度比較正面,但仍不乏少數企業,希望可以付錢給烏雲,希望烏雲可以把揭露企業漏洞的訊息下架。當然,這是涉及烏雲通報的制度,但從這裡卻也可以看出來,還是有很多企業在面對漏洞修補的態度,往往不願意正面面對、甚至希望可以隱匿訊息,看起來,的確相當負面。

臺灣常見漏洞通報平臺有 3,要先面對漏洞,才能解決漏洞問題

要能夠先面對問題,才有辦法解決問題,所以,要協助企業解決資安問題,第一優先就是要先知道問題發生在哪裡,而漏洞通報就是一個告知企業風險發生在哪裡的程序。

臺灣目前提供漏洞通報的平臺,除了上述 HITCON ZeroDay 通報平臺外,另外還有獨立的漏洞通報平臺 VulReport,及由目前由中山科學研究院承接的 TWCERT/CC (臺灣電腦網路危機處理暨協調中心)。
其中,HITCON ZeroDay 通報平臺接收到的漏洞通報訊息,包含企業和政府,若是企業通報部分,則會由該單位作為烏雲和企業之間的一個緩衝,由臺灣方面協助通報企業;政府部門,則由 TWCERT/CC 協助通報政府相關的漏洞。

畢竟,各個政府單位的漏洞通報若能透過 CERT 通報,比較可以按照政府的原本的流程處理通報和了解漏洞真實性,也可以節省通報平臺尋找各個政府單位資安窗口的時間。

以 HITCON ZeroDay 通報平臺為例,一般性的漏洞通報,都會希望企業最晚可以在 60 天內完成修補,如果是嚴重的漏洞,則會縮短漏洞修補的時間,不然,漏洞危害則會更加劇。

企業面對漏洞的態度應該要學會把駭客當成自己的朋友

不論是哪一個漏洞通報平臺,基本上都是所謂的白帽駭客,希望透過正當的通報程序,協助受害企業改善資安漏洞。

面對漏洞通報最重要的是企業的心態,如果企業可以正面看待漏洞通報,學會把駭客當成自己的朋友,甚至有提供公開的漏洞通報窗口,都有助於企業縮短漏洞應變的時間,也可以減少溝通上的失誤。

當然,這個漏洞通報的層級絕對不可以太低,否則,在員工「多一事不如少一事」的心態下,就可能默默的把這樣的漏洞資訊搓掉了。因此,這樣的資安漏洞通報窗口至少要是主管層級才行,讓漏洞通報平臺以及外部資安人員找到相關的安全議題實,可以快速的找到正確的資安通報窗口,避免以往必須透過業務或者是客服窗口轉達漏洞資訊時,因為相關單位無法判斷嚴重性,造成訊息轉達時的失誤或效率差情況。

畢竟,企業可以直接修補漏洞,一定會比漏洞被駭客或其他黑色產業利用來的好;而企業同時,可以對於通報漏洞的平臺或資安人員給予適度的獎勵,像是烏雲則是以積分獎勵通報漏洞的資安研究員,也有部分單位會提供少數金錢獎勵,都是可以協助整個漏洞通報循環更為正面的方式。

所以說,企業面對漏洞通報時,只要可以做到下面 4 點,就可以讓整個漏洞通報走向正面循環。首先,了解漏洞的細節說明、帶來的影響;其次,告知通報者、通報單位此漏洞是否已經被內部確認,接下來會怎麼處理這個漏洞,預計什麼時候處理完畢;第三,處理完畢後告知通報者、通報平臺已經處理完畢,請通報平臺作為後續公布和處理;最後,企業可以選擇性給予通報者及通報平臺適度獎勵,讓整個漏洞通報更為正面。

文過飾非其實是人的天性,面對疏失時,我們多數會缺乏足夠面對錯誤的勇氣。但是,學會面對錯誤、擁抱錯誤,其實是一種自我提升的方式,企業面對未知的漏洞通報時,若也能抱持同樣正面面對的態度,一定有助於企業提高風險防護能力。

文章來源: iThome - http://www.ithome.com.tw/news/103286

HITCON ZeroDay



VulReport

本帖子中包含更多資源

您需要 登錄 才可以下載或查看,沒有帳號?加入會員

x
您需要登錄後才可以回帖 登錄 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|資訊安全技術論壇  

GMT+8, 2021-5-15 20:02 , Processed in 30.143258 second(s), 28 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表