0
引 言
1
美国漏洞管理重点战略法规
美国漏洞管理战略法规从国家战略政策到法规行政令,再到条令指南,覆盖全面。其中,关于漏洞披露的管理政策遵循《国家网络战略》《国家网络安全战略》等战略法规中有关促进和使用漏洞披露的总体布局,以及法规行政令的具体要求和条令指南等实施细则,美国漏洞管理重点战略法规如表1所示。
表1 美国漏洞管理重点战略法规
战略政策方面,2018年9月,美国《国家网络战略》发布,明确“促进和使用协同漏洞披露、众包测试和其他创新性评估,以提高利用或攻击前的弹性”,从而“推进全生命周期网络安全”;2023年,《国家网络安全战略》指出,“为进一步鼓励采用安全软件开发实践,政府将鼓励在所有技术类型和行业中进行协调的漏洞披露”。
法规行政令方面,2020年9月,美国国防系统漏洞管理的主要指导性文件《国防部漏洞管理指令》(DoDI 8531.01)发布,范围覆盖管理和响应国防部信息网络(Department of Defense Information Networks,DoDIN)中所有软件、固件和硬件中发现的漏洞,明确用高效的漏洞评估技术、过程和功能支持国防部所有系统,满足《漏洞评估章程》(Vulnerabilities Equities Process,VEP)的相关要求,并确保提交新发现的未公开漏洞的效率,促进和保障漏洞披露。2021年5月,《改善国家网络安全的行政令》(E.O.14028)发布,强调了联邦政府应对网络安全漏洞和事件的流程标准化,确保对网络安全事件进行更加协调和集中的分类。
2
美国DoDIN漏洞管理的基本情况
2.1 美国国防部漏洞管理依据
美国国防部层面遵循《国防部漏洞管理指令》(DoDI 8531.01)实施漏洞管理,指令适用范围包括国防部长办公室组成部门、军事部门、参谋长联席会议主席办公室、作战指挥部、国防部总监察长办公室、国防机构和国防部内的所有其他组织实体。指令特点如下:
一是明确了美国国防部漏洞管理的目标。提供国防部漏洞管理流程,制定相关策略、分配责任,并对DoDIN中的所有软件、固件和硬件中的漏洞做出响应;建立基于联邦和国防部标准的统一的国防部部门级网络安全漏洞管理程序;为国防部漏洞披露计划(Vulnerability Disclosure Plan,VDP)制定策略并为其分配责任;根据美国政府的漏洞公平裁决政策和流程,制定策略、分配责任,并为国防部参与VEP提供程序指引。
二是美国国防部各部门协同进行漏洞管理。国防部的漏洞管理机构包括国防信息系统局、国家安全局、网络司令部、DoDIN联合部队总部、中央情报局、空军、NIST、国防部网络犯罪中心和国家安全委员会等,各部门各有职能侧重。该指令详细、清晰地赋予了国防部各相关部门漏洞管理的领导职责。
美国国防部漏洞管理流程包括漏洞识别、漏洞分析、分析报告、补救和缓解、验证和检查,如图1所示。一是漏洞识别,包括漏洞扫描、渗透测试、安全控制评估、历史文件、协同漏洞披露和VEP;二是漏洞分析,包括影响分析和优先级分析;三是分析报告,指国防部各部门起草和生成漏洞分析报告;四是补救和缓解漏洞,包括确定补救或缓解方法,考虑资产价值和风险暴露等因素,评估补丁有效性、监控合规性、补救及缓解措施等,按照美国国防部安全技术实施指南、国家安全局安全实施和缓解指南及NIST缓解指南,对软件、固件和硬件进行安全配置等;五是验证和检查,包括核实“补救和缓解”方法的效率,确保漏洞已被修复或减轻,监视已修复或减轻的系统、子系统或系统组件,以发现更多相互依赖的漏洞,持续监测受影响的系统。将日志存储在中央存储库或安全信息和事件管理平台中,遵循国防部信息安全持续监控计划,以满足联邦信息安全现代化法案的持续监控要求。
图1 美国国防部漏洞管理流程
2.3 美国国防部漏洞披露计划
美国国防部在漏洞管理方面有诸多举措,如国家安全局针对美国国家安全系统(National Security System,NSS)、美国国防工业基地和DoDIN发布漏洞指南并披露国家行为体的漏洞行为,缓解和避免漏洞利用风险等,而更具创新成效的披露举措是国防部漏洞披露计划(Department of Defense Vulnerability Disclosure Program,DoD-VDP)。
DoD-VDP于2016年建立,其源自“破解五角大楼”漏洞赏金试点计划,旨在通过加强DoDIN的安全性,为进一步实施网络空间深度防御策略提供保障。DoD-VDP建立了一个由国防部网络犯罪中心、美国网络司令部、DoDIN联合部队总部及HackerOne众包白帽黑客等组成的生态社区,通过HackerOne等众测平台开展漏洞赏金众测行动,发起多项漏洞赏金计划,发现更多有效漏洞,再由VDP网络分析师对报告中的漏洞进行验证、分类和处理缓解。
2021年1月,DoD-VDP范围正式从面向公众的网站扩展到所有可公开访问的国防部信息系统,通过与支持DoDIN的众包网络安全研究人员互动,扩大了对国防部网络攻击面的保护。截至2023年2月,美国国防部VDP已收到超过 45 000个漏洞,其中6 346个已成功缓解,近60%的漏洞被验证为可操作的。VDP漏洞逐财年严重程度报告如图2所示,显示了与黑客合作降低风险的巨大价值。
图2 VDP漏洞逐财年严重程度报告
(资料来源:美国国防部网络犯罪中心
《2022 年度漏洞披露报告》)
DoD-VDP由3个方面组成:一是为开展众测活动提供明确指导方针和政策;二是保护白帽安全研究人员所报告问题的安全承诺,为其提供法律豁免;三是以合适的方式验证、筛选和修复漏洞的内部流程。自2018年开始,漏洞报告管理网络系统正式上线,可自动化、跟踪和处理所有报告,有效提高了国防部漏洞披露效率。
DoD-VDP有5个方面的能力:一是通过使用协同漏洞披露、众包测试和风险评估来提高全生命周期的网络安全,从而在漏洞被利用之前提高网络弹性;二是加强国防部与计算机安全研究人员的合作,建立积极的反馈循环,通过快速发现和修复漏洞来提高国防部网络的安全性;三是缩短发现漏洞、通知系统所有者和成功缓解漏洞之间的时间;四是为漏洞发现者向国防部报告提供开放渠道和合法安全港;五是通过提高国防部网络空间资产的弹性,促进国防战略行动路径——“建立一支更具杀伤力的力量”。
3
联邦互联网信息系统漏洞披露管理的基本情况
3.1 约束性操作指令明确漏洞披露策略
美国联邦机构正逐步扩大部署可访问互联网系统及相连接的复杂系统,但由于发现漏洞和利用漏洞之间的平均时间正在缩短,联邦政府认为必须继续采取快速修复漏洞等措施减少整体网络攻击面,并尽快将未授权访问联邦信息系统的风险降至最低。
CISA发布了系列约束性操作指令规范联邦漏洞管理。例如,2019年1月,CISA发布《互联网可访问系统的漏洞修复要求》的约束性操作指令(BOD 19-02),通过提高联邦层面对高危漏洞和关键漏洞的补救要求,进一步减少对联邦机构信息系统的攻击面和风险。2020年9月2日,CISA发布《制定并发布漏洞披露政策》的约束性操作指令(BOD-20-01),旨在使2020年成为 “漏洞管理年”,特别关注公众向政府部门披露漏洞的便利性问题,要求各联邦民事行政机构(Federal Civilian Executive Branch,FCEB)为其互联网可访问系统制定和发布VDP,并建立服务和维护流程以支持VDP,对漏洞披露策略、漏洞处理过程等提出了要求。随后发布的约束性操作指令BOD 22-1和约束性操作指令BOD 23-1也都从不同方面规范指导着联邦机构的漏洞管理。
3.2 联邦漏洞披露框架标准化漏洞披露流程
2023年5月,NIST发布了《对联邦漏洞披露指南的建议》(NIST SP 800-216),基于《ISO/IEC 29147:2018信息技术 安全技术 漏洞披露》 《ISO/IEC 30111:2019信息技术 安全技术 漏洞处理流程》标准,专门为联邦政府建立了一个统一、灵活的漏洞披露框架,用于制定漏洞披露政策和实施程序,以报告、评估和管理联邦政府系统的漏洞披露。高级联邦漏洞披露框架和信息流如图3所示,主要政府参与实体是联邦协调机构(Federal Coordinate Branch,FCB)和漏洞披露项目办公室(Vulnerabi、公众和外部协调者。报告者是指向政府机构提交源漏洞报告的政府内外部实体;FCB是一组合作成员,共同提供灵活、高水平的机构间漏洞披露协调,政府通过FCB进行漏洞跟踪并提出漏洞咨询意见;VDPO是负责管理漏洞披露计划信息技术的办公室,负责与其他行为者协调,识别、解决和发布漏洞咨询报告;公众是指可能受到特定漏洞影响或需要针对特定漏洞采取行动的对象;外部协调者是指不属于FCB或VDPO的、接收源漏洞报告的任何漏洞披露实体。
图3 高级联邦漏洞披露框架和信息流
3.3 利用漏洞披露平台掌握潜在漏洞
CISA网络质量服务管理办公室(Quality Services Management Office,QSMO)建立了面向联邦机公众构的VDP,该平台是一个软件即服务应用程序,由网络安全企业Bugcrowd和EnDyna为联邦互联网系统漏洞披露提供共享服务,如图4所示。该平台为联邦机构提供了一个统一的在线管理网站,使安全研究人员和公众能够在机构网站中发现其漏洞披露政策范围内的系统漏洞并提交报告以供各联邦机构分析。
图4 CISA漏洞披露平台概念
该平台有4个方面的参与者:漏洞报告者、平台服务提供商、各联邦机构和CISA。漏洞报告者通过该平台报告联邦系统漏洞;平台服务提供商对提交的漏洞报告进行筛选和初步分类,验证合法性;CISA虽不主动参与具体漏洞补救过程,但保持对披露活动的监督,并访问所有机构的汇总统计数据和报告,已识别漏洞的修复仍将由对应机构负责,而不是由CISA或VDP平台服务提供商负责。
该平台有两个方面的优势:一是统一集中管理,提高分析、解决和传达已披露漏洞的能力。联邦政府机构利用该平台作为研究人员披露、接收、分类和查找漏洞的主要入口,简化了与安全研究社区的协调方式,事件报告人可使用统一的网站来提交调查结果,提高整个联邦机构互联网可访问系统的安全性和协同披露。二是鼓励公私协作与信息共享,显著节省政府成本。该平台通过允许研究人员提交漏洞报告来鼓励公私部门间的协作和信息共享,拓宽政府机构了解和解决未知漏洞的渠道;对已识别的漏洞进行报告和分类,各机构无须开发独立系统报告和分类已识别漏洞,大幅提升机构专注处理漏洞的效率。CISA预测,通过利用QSMO的共享服务方法,将在政府范围内节省超过1 000万美元的成本。
3.4 漏洞指南标准化漏洞响应流程
CISA于2021年11月发布了《联邦政府网络安全事件与漏洞响应手册》,为FCEB提供了一套标准流程,用于识别、协调、补救、恢复和跟踪影响FCEB系统、数据和网络的事件和漏洞。该手册规范了政府机构应对紧急和高危漏洞时应遵循的流程,包括识别、评估、修复和报告漏洞4个阶段:一是识别阶段,通过监控威胁流和信息资源来主动识别被利用漏洞;二 是评估阶段,确定漏洞并评估底层软硬件重要性;三是修复阶段,及时修复系统或环境中存在的漏洞;四是报告和通知阶段,共享漏洞利用信息可帮助联邦政府机构防御者掌握亟须修复的漏洞。
3.5 特定漏洞紧急指令指导漏洞缓解
4
结 语
引用格式:刘力平,尹晗,张玲,等.美国网络安全漏洞披露管理情况研究[J].信息安全与通信保密,2024(6):30-38.
请联系:15710013727(微信同号)
原文始发于微信公众号(信息安全与通信保密杂志社):美国网络安全漏洞披露管理情况研究
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论