0 引 言
漏洞(Vulnerability) 是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷, 從而使攻擊者能夠在未授權(quán)的情況下訪問、破壞或控制目標系統(tǒng)。從技術(shù)層面看,漏洞本身無法根除。漏洞的開發(fā)利用頻繁,相對廉價快速, 而漏洞發(fā)現(xiàn)后消除周期較長。如果大量漏洞長期暴露得不到及時有效的處置,那么新發(fā)現(xiàn)的漏洞與未消除的漏洞不斷累加,網(wǎng)絡(luò)安全風險將進一步疊加。
漏洞管理(Vulnerability Management) 通常定義為對操作系統(tǒng)(OS)、企業(yè)應(yīng)用程序、瀏覽器和最終用戶應(yīng)用程序中的漏洞進行識別、分類、確定優(yōu)先級和處理,是一個持續(xù)的過程。由于資源是有限的,漏洞管理強調(diào)用有限的投入去實現(xiàn)最大限度的安全效益。
漏洞本身雖然不產(chǎn)生危害,但一旦被利用, 極有可能帶來嚴重的威脅和損害。在網(wǎng)絡(luò)安全領(lǐng)域,漏洞常被攻擊方視為“殺手锏”武器, 又被防守方當作“萬惡之源”。針對網(wǎng)絡(luò)安全本源性的難題,構(gòu)建一個互利的、穩(wěn)定運行的漏洞管理國際機制,既符合各方利益,也有利于推動全球互聯(lián)網(wǎng)治理體系向著更加公正合理的方向邁進。
1 漏洞管理國際合作的現(xiàn)實要求
在全球進入萬物互聯(lián)的時代,各國處于加速發(fā)展數(shù)字經(jīng)濟、建設(shè)數(shù)字政府、數(shù)字社會的新階段,漏洞已經(jīng)成為影響一個國家經(jīng)濟發(fā)展和國計民生的重要網(wǎng)絡(luò)安全風險,也是國際社會共同面臨的網(wǎng)絡(luò)空間治理難題。
1.1 漏洞管理涉及網(wǎng)絡(luò)安全的全球生態(tài)建設(shè)
當前,全球安全漏洞數(shù)量快速增長,危險級別不斷提升。與此同時,漏洞的責任難以界定、漏洞的評估缺乏人員經(jīng)驗支撐、漏洞的修復(fù)推動困難,這些問題都表明要想防止網(wǎng)絡(luò)安全漏洞在全球范圍內(nèi)造成更為巨大的危害,漏洞管理需要多方協(xié)作。
第一,漏洞的來源具有跨國性。當今世界, 幾乎所有的涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施都對信息通信技術(shù)(以下簡稱 ICT)的依賴程度越來越高。ICT 供應(yīng)鏈最突出的特點是產(chǎn)品要通過高度分散的全球供應(yīng)鏈實現(xiàn)開發(fā)、集成和交付, 而產(chǎn)品的設(shè)計、開發(fā)、采購、生產(chǎn)、倉儲、物流、銷售、維護、召回等每個環(huán)節(jié)都有可能被篡改或控制。
第二,漏洞的官方披露滯后。大量漏洞在官方披露之前已經(jīng)在社交媒體和黑市討論。新聞?wù)军c、博客和社交媒體,以及暗網(wǎng)和犯罪論壇, 往往比美國國家標準與技術(shù)局(NIST)統(tǒng)管的加強對網(wǎng)絡(luò)安全漏洞的處置及后續(xù)的防控更快公布漏洞。威脅情報公司 Recorded Future 表示, 從 2015 年到 2017 年,有四分之一的軟件漏洞討論首先出現(xiàn)在社交媒體網(wǎng)站上,然后社交媒體上討論近 90 天后才能收錄在美國國家數(shù)據(jù)庫中 。非官方與官方漏洞披露的錯位導(dǎo)致漏洞威脅信息不對稱,使得未能及時掌握漏洞信息的政府機構(gòu)、企業(yè)、廠商和個人面臨漏洞利用帶來的重大安全風險。
第三,開源軟件漏洞的修復(fù)困難。隨著“大智移云鏈”等新興技術(shù)的廣泛應(yīng)用,開源軟件的支撐作用越發(fā)明顯。幾乎所有的商業(yè)軟件代碼庫都包含開源共享代碼。由于開源軟件的規(guī)模龐大、漏洞頻發(fā)、引用關(guān)系復(fù)雜等特點,給應(yīng)用系統(tǒng)的安全處置帶來很大挑戰(zhàn)。同時,漏洞修復(fù)和版本升級需要投入大量的開發(fā)和測試工作量,部分開源軟件沒有安全版本可用,對漏洞處置方案提出了更高的要求。
1.2 漏洞武器化成為網(wǎng)絡(luò)空間和平的重大威脅
不同類型的漏洞獲取,意味著取得不同等級的系統(tǒng)控制權(quán)和風險數(shù)據(jù),并且隨著網(wǎng)絡(luò)漏洞的武器化,很多網(wǎng)絡(luò)安全維護措施可能失去效用。因此,在軍事上,漏洞是侵入他國系統(tǒng)最有力的武器,各國軍方將漏洞視為戰(zhàn)略資源。在民用領(lǐng)域,漏洞已參與到國家、企業(yè)之間的競爭。
美國利用信息技術(shù)及產(chǎn)品在全球的壟斷地位實現(xiàn)了對全球漏洞的掌控,加之其積極推行“前置防御”“持續(xù)交手”網(wǎng)絡(luò)空間戰(zhàn)略,網(wǎng)絡(luò)世界面臨濃重的戰(zhàn)爭陰影。美國政府可通過美國國家漏洞庫(NVD)面向全球收集漏洞, Microsoft、Cisco、Apple、Adobe 等全球主要軟硬件廠商的產(chǎn)品漏洞都在美國國家漏洞庫的掌握之中。同時,美國通過“出口限制禁令”限制零日漏洞及其相關(guān)產(chǎn)品流出美國。2015 年美國《瓦森納協(xié)定》的新出口限制禁令,將未公開的軟件漏洞視為潛在的武器進行限制和監(jiān)管。國際社會需要建立一種國際機制,有效抵消漏洞武器化的效果,并約束國家的惡意網(wǎng)絡(luò)行為。
1.3 限制和消除漏洞已經(jīng)成為國際共識
無論是出于對關(guān)鍵基礎(chǔ)設(shè)施保護的需要, 還是國家安全的考慮,限制和消除漏洞已經(jīng)成為大多數(shù)國家參與網(wǎng)絡(luò)空間國際治理的重要動力。2015 年聯(lián)合國信息安全政府專家組報告達成了 11 項自愿的非約束性負責任國家行為規(guī)范 。其中,第 10 項指出,“各國應(yīng)鼓勵負責任的報道信通技術(shù)的脆弱性,分享有關(guān)這種脆 弱性的現(xiàn)有補救辦法的相關(guān)資料,以限制并可 能消除信通技術(shù)和依賴信通技術(shù)的基礎(chǔ)設(shè)施所面臨的潛在威脅”。在本屆聯(lián)合國信息安全開放式工作組(OEWG)中,關(guān)于負責任行為規(guī)范議題,有多國提議“進一步確保信通技術(shù)供應(yīng)鏈的完整性,對在信通技術(shù)產(chǎn)品中創(chuàng)造有害的 隱藏功能表示關(guān)切,并有責任在發(fā)現(xiàn)重大漏洞時通知用戶”。關(guān)于能力建設(shè),也有建議提出“建立有相關(guān)利益攸關(guān)方參與的國家協(xié)調(diào)機構(gòu), 以評估方案的有效性,可有助于國家處理信通 技術(shù)安全問題”。
2 漏洞管理的國際組織和平臺
隨著信息技術(shù)的快速迭代發(fā)展,漏洞的發(fā)展變化給一國的漏洞管理帶來了新的挑戰(zhàn)。世界各主要國家紛紛制定漏洞管理政策,建立國家級漏洞平臺和處理機制,在漏洞管理的實踐中,積累了很多經(jīng)驗 。從全球視角看,以下國際組織和平臺體現(xiàn)了國際社會加強合作,共同應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)的努力。
2.1 國際標準化組織
國 際 標 準 化 組 織(International Standards Organization,ISO)兩項標準,ISO 29147 和 ISO 30111,規(guī)定了響應(yīng)安全漏洞的組織結(jié)構(gòu)和處理流程。
ISO/IEC 29147:漏洞披露流程。該標準為供應(yīng)商提供了從外部獲取其產(chǎn)品或在線服務(wù)的漏洞信息的五個步驟,包括接受漏洞報告、漏洞驗證、解決方案開發(fā)、發(fā)布和發(fā)布后事項。
ISO/IEC 30111:漏洞處理流程。該標準規(guī)定機構(gòu)應(yīng)該有的漏洞處理的內(nèi)部流程,幫助機構(gòu)在外部報告到達后進行漏洞調(diào)查和補救。
2.2 通用漏洞披露平臺
通用漏洞披露平臺(Common Vulnerabilities & Exposures,CVE),為已披露的漏洞給出唯一的公共命名。CVE 就好像是一個字典表,通過公共命名使得 CVE 成為了安全信息共享的“關(guān)鍵字”,幫助用戶在各自獨立的漏洞數(shù)據(jù)庫和漏洞評估工具中共享數(shù)據(jù)。雖然這些工具很難整合在一起,但是如果在漏洞報告中的一個漏洞有 CVE 名稱,就可以快速地在任何其他 CVE 兼容的數(shù)據(jù)庫中找到相應(yīng)修補的信息。
2.3 漏洞提交平臺
ExploitDB 是一個面向全世界黑客的漏洞提交平臺,該平臺會公布最新漏洞的相關(guān)情況, 由此幫助企業(yè)改善安全狀況,同時也幫助安全研究者更好地進行安全測試工作。ExploitDB 提供一整套龐大的歸檔體系,其中涵蓋了各類公開的攻擊事件、漏洞報告、安全文章以及技術(shù)教程等資源。
2.4 互聯(lián)網(wǎng)工程指導(dǎo)小組
2019 年12 月,互聯(lián)網(wǎng)工程指導(dǎo)小組 (Internet Engineering Steering Group,IESG)發(fā)布了網(wǎng)絡(luò)漏洞披露標準 Security.txt 的最終征求意見稿,該標準“Web 安全策略方法”旨在改善獨立安全研究人員用來披露 Web 服務(wù)漏洞的通信渠道,盡可能簡化研究人員的漏洞披露過程。在獲得美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA)發(fā)布的聯(lián)邦政府漏洞披露策略草案背書后,IESG 的全球性網(wǎng)絡(luò)漏洞披露標準 Security.txt 草案也進入了最后一輪意見征詢階段。
2.5 事件響應(yīng)和安全團隊論壇
事件響應(yīng)和安全團隊論壇(Forum of Incident Response and Security Teams,F(xiàn)IRST) 是一個多利益攸關(guān)方參與的組織,匯集了來自政府、商業(yè)和教育組織的各種計算機安全事件響應(yīng)團隊, 也是事件響應(yīng)方面公認的全球領(lǐng)導(dǎo)者。FIRST 旨在促進事件預(yù)防方面的合作與協(xié)調(diào),激發(fā)對事件的快速反應(yīng),并促進成員與整個社群之間的信息共享。FIRST 實行會員制。目前FIRST 擁有500 多個會員,遍布非洲、美洲、亞洲、歐洲和大洋洲。其成員基本上分成三類,一是各個國家本土的CERT,二是設(shè)備制造商,三是運營商, 還包括一些來自學(xué)術(shù)機構(gòu)的其他成員。在漏洞管理方面,F(xiàn)IRST 有四項工作是非常有價值的。
第一,成立了由銀行、金融、技術(shù)和學(xué)術(shù)界等眾多行業(yè)代表組成的特別小組(SIG),對通用漏洞評分系統(tǒng) CVSS 進行改進。
第二,著手開發(fā)漏洞利用預(yù)測評分系統(tǒng)(Exploit Prediction Scoring System,EPSS), 對公開披露的漏洞進行近實時的評估,預(yù)測軟件漏洞的利用,幫助網(wǎng)絡(luò)防御者更好地確定漏洞修復(fù)工作的優(yōu)先級。
第三,發(fā)布了“多方漏洞協(xié)調(diào)和披露指南和實踐”。該文件是美國國家電信和信息管理局(NTIA)與 FIRST 共同的研究成果,旨在幫助改善不同利益相關(guān)者之間的多方漏洞協(xié)調(diào)。
第四,成立了漏洞報告和數(shù)據(jù)交換特別小組,研究和推薦在不同的漏洞數(shù)據(jù)庫之間識別和交換漏洞信息的方法。在第一階段(2013 年至 2015 年),F(xiàn)IRST 開發(fā)漏洞數(shù)據(jù)庫目錄。在第二階段(從 2015 年開始),F(xiàn)IRST 將開發(fā)漏洞 ID 交叉引用系統(tǒng)和漏洞披露策略目錄,制定并發(fā)布漏洞披露以及處理策略的目錄。
3 漏洞管理國際合作的重點
眾所周知,從國家安全的角度,國家軍事部門和情報部門對漏洞非常重視,是漏洞利用的需求方、開發(fā)方和使用方。從這一點講,漏洞管理的國際合作非常敏感,也是漏洞管理國際合作需要平衡和兼顧之處。為了讓合作具有可操作性和可持續(xù)性,漏洞管理國際合作需要尊重各方國家安全上的關(guān)切和顧慮,在各方已經(jīng)公開的漏洞資源基礎(chǔ)上,以公開、透明的方式加強漏洞資源的共享和協(xié)調(diào)。
3.1 聚焦公開漏洞的信息分享
目前,世界上有大量的國家級漏洞平臺。包括中國國家信息安全漏洞庫(CNNVD)、中國國家信息安全漏洞共享平臺(CNVD)、美國國家漏洞數(shù)據(jù)庫(NVD)、日本漏洞庫(JVN)、歐盟的“安全漏洞庫服務(wù)”(Security Vulnerability Repository Service,SVRS) 等。漏洞管理的國際合作可在各國已經(jīng)公開披露的漏洞信息的基礎(chǔ)上加強漏洞信息分享和交流。
3.2 聚焦軟件供應(yīng)鏈安全
相對硬件供應(yīng)鏈,軟件供應(yīng)鏈的漏洞發(fā)現(xiàn)和修復(fù)相對比較容易。近期“太陽風”供應(yīng)鏈攻擊事件表明,軟件漏洞利用具有涉及維度廣、攻擊成本低、回報高、檢測困難等特性。加之開源代碼的使用,軟件漏洞的防控處理越發(fā)具有挑戰(zhàn)。同時,隨著物聯(lián)網(wǎng)的迅速發(fā)展,在物聯(lián)網(wǎng)相關(guān)的場景下,智慧城市、智慧家庭、智慧醫(yī)療、智慧交通和智慧工業(yè)等新應(yīng)用的安全問題將逐漸暴露出來。因此,物聯(lián)網(wǎng)軟件漏洞的管理將是有更多國際合作需求的領(lǐng)域。
3.3 聚焦漏洞修復(fù)
在實踐中,漏洞修復(fù)的問題比漏洞本身還大。一個漏洞可能涉及多個行業(yè),也就意味著漏洞的修復(fù)涉及多家企業(yè)、多個廠商、多個用戶。但是,供應(yīng)商發(fā)布了補丁未必意味著脆弱設(shè)備就已被修復(fù)。很多情況下,有時候是因為物理上無法修復(fù)這些設(shè)備;有時候是因供應(yīng)商不具備漏洞修復(fù)能力,或者漏洞修復(fù)后系統(tǒng)不穩(wěn)定等原因使得有一部分漏洞難以修復(fù)。
理論上,產(chǎn)品之間有交叉處的企業(yè)或廠商, 在漏洞修復(fù)上自然會有技術(shù)上合作的需求。但是,讓跨國企業(yè)一起去修復(fù)漏洞并不太容易, 這就需要國家力量的協(xié)調(diào),找出企業(yè)的困難點在哪里,短板在哪里,去平衡企業(yè)的動力不足。因此,漏洞修復(fù)可以是政府間合作最能發(fā)揮作用的地方。
4 漏洞管理國際合作的路徑
網(wǎng)絡(luò)安全是一個系統(tǒng)性問題,任何一個環(huán)節(jié)出現(xiàn)錯誤都會導(dǎo)致整個系統(tǒng)出現(xiàn)問題,因而漏洞管理要從系統(tǒng)整個生命周期的多個階段去考慮。本著避免重復(fù)建設(shè),充分利用現(xiàn)有資源的原則,針對已經(jīng)公開披露的漏洞,漏洞管理的國際合作可以圍繞漏洞的報告、優(yōu)先化、響應(yīng)的三大環(huán)節(jié)建立漏洞信息交流、評估、修復(fù)的國際合作運行機制。
4.1 漏洞信息交流機制
漏洞披露是修復(fù)漏洞的基礎(chǔ)環(huán)節(jié),也是展開漏洞管理國際合作的重要前提。在很多國家內(nèi)部,漏洞披露已經(jīng)形成一條較為完整的產(chǎn)業(yè)鏈,按漏洞的生命周期可分為:發(fā)現(xiàn)漏洞、安全信息提供、漏洞信息資源提供。從各國的實踐看,漏洞披露政策有相似之處,都涉及漏洞信息通過什么方式提交,漏洞信息在專業(yè)機構(gòu)、研究人員和廠商間如何共享,何時或者通過什么方式向公眾披露。而且,考慮到既要符合漏洞管理和利用的要求,也要符合社會公共安全利益,各國的漏洞披露策略都非常謹慎。在各方漏洞披露的基礎(chǔ)上加強漏洞信息交流共享, 及時更新漏洞警報和補丁信息,既有必要也非常有用。
目前,由非盈利組織 MITRE 管理的通用漏洞 披 露(Common Vulnerabilities & Exposures, CVE)平臺已成為國際公認的公開漏洞分享平臺。CVE 是一個漏洞索引數(shù)據(jù)庫,主要功能是對漏洞標識信息提供一個跨平臺標準。但是,CVE 有兩個局限。一是 CVE 沒有一個已存在的所有漏洞的完整列表。二是 CVE 的更新不及時,一些漏洞幾年的時間仍保持著“候選”狀態(tài)。因此, 國際合作可以通用漏洞披露平臺為基礎(chǔ),聯(lián)合各方的國家級漏洞庫,在國家已公開披露的漏洞基礎(chǔ)上,建立漏洞更新的通報機制,具體內(nèi)容可以包括:
第一,豐富 CVE 的漏洞列表,加快 CVE 的漏洞審查速度。
第二,以自愿共享為原則,各方將其收集并已發(fā)布的漏洞信息上傳至國際漏洞信息共享平臺。
第三,檢測新漏洞動向,披露關(guān)于新漏洞的警告。利用廣泛的在線資源,主動收集漏洞信息,及時披露新發(fā)現(xiàn)漏洞,搶在黑客知悉漏洞細節(jié)并加以利用之前,向各方的 IT 部門、政府機構(gòu)和用戶發(fā)出警告。
4.2 漏洞評估機制
漏洞評估是目前漏洞管理的痛點所在。漏洞所造成的實際危害千差萬別,如果針對漏洞對應(yīng)的資產(chǎn)、環(huán)境等因素進行危害評估的體系缺位,將直接導(dǎo)致漏洞處置工作缺乏抓手。目前, 網(wǎng)絡(luò)安全漏洞危害評級主要采用定性定量評估方式,全球主要參考指南為美國國家基礎(chǔ)設(shè)施顧問委員會(NIAC)開發(fā)的《通用漏洞評分系統(tǒng)指南》(CVSS)。建議在 CVSS 的基礎(chǔ)上完善漏洞評估機制,進一步完善漏洞評估內(nèi)容。
其一,設(shè)置統(tǒng)一的“漏洞評估分類標準”, 對已上傳至漏洞信息共享平臺的漏洞進行二次評級。可重點參照事件響應(yīng)和安全小組論壇
(FIRST)的指標集和國際標準組織 ISO 的漏洞披露標準文件,探索將漏洞危害與應(yīng)用環(huán)境相結(jié)合的評估方法。
其二,對ICT 產(chǎn)品的漏洞修復(fù)能力進行評估。包括督促性分析,如未修復(fù)漏洞的超時時間和排名;最近一個月新增漏洞的修復(fù)排名,高危漏洞平均修復(fù)時間排名等,目的是以一種公開、透明的方式督促 ICT 供應(yīng)商加強漏洞修復(fù)。
4.3 漏洞處置協(xié)調(diào)機制
加強漏洞修復(fù)和后續(xù)防控,可以減少可能引發(fā)的網(wǎng)絡(luò)安全損害。有些漏洞在特定的環(huán)境中無法完全消除,強行消除漏洞可能引入更大的安全風險,導(dǎo)致系統(tǒng)停擺、數(shù)據(jù)泄露等更嚴重的事故。而終端用戶往往缺乏有效的判斷依據(jù),往往不懂漏洞處置,不敢處置。
目前,事件響應(yīng)和安全小組論壇(FIRST) 已經(jīng)建立了重大網(wǎng)絡(luò)安全事件響應(yīng)的國際機制。但是由于FIRST 實行會員制,且入會門檻比較高, 準入機制復(fù)雜,審核時間較長,通常采取論壇、會議、培訓(xùn)的方式開展國際學(xué)術(shù)活動,其在漏洞應(yīng)急修復(fù)方面的全球協(xié)調(diào)能力有明顯不足。建議在 FIRST 的基礎(chǔ)上,完善漏洞處置協(xié)調(diào)機制,主要內(nèi)容可以包括:
其一,建立漏洞補丁庫。使 CVE 的漏洞索引編號與漏洞補丁庫的索引編號相聯(lián)系,通過統(tǒng)一標識,加強漏洞識別和相對應(yīng)的補救措施之間的協(xié)調(diào)。
其二,設(shè)立全球網(wǎng)絡(luò)漏洞管理的國際專家?guī)臁S扇蚓W(wǎng)絡(luò)信息漏洞專家對披露的高危漏洞信息進行評估,制定漏洞修復(fù)策略。針對暗網(wǎng)和社交媒體等非官方渠道的漏洞披露信息, 依托技術(shù)實力較強的企業(yè)和技術(shù)社群,進行漏洞危險性評估和預(yù)警。
5 結(jié) 語
2020 年9 月,中國提出《全球數(shù)據(jù)安全倡議》。2021 年 3 月,中國外交部同阿拉伯國家共同發(fā)表《中阿數(shù)據(jù)安全合作倡議》,體現(xiàn)了發(fā)展中國家在數(shù)字治理領(lǐng)域的高度共識。網(wǎng)絡(luò)安全漏洞管理的合作可以作為一個構(gòu)成網(wǎng)絡(luò)空間信任的基點,通過網(wǎng)絡(luò)空間基底層的具體合作行動去凝聚國際共識,尋求符合各國利益的網(wǎng)絡(luò)空間治理的最大公約數(shù)。對于網(wǎng)絡(luò)安全漏洞管理,我國積累了豐富的經(jīng)驗和實踐,有能力以漏洞管理國際合作為突破口,在控制我國網(wǎng)絡(luò)空間風險的同時,推動網(wǎng)絡(luò)安全漏洞管理的最佳實踐,讓具備專業(yè)能力的政府機構(gòu)作為牽頭單位, 以技術(shù)社群作支撐,逐步推進漏洞管理的國際合作。
