神秘而復(fù)雜的漏洞披露程序阻礙了安全性

在物聯(lián)網(wǎng) (IoT) 和工業(yè)控制系統(tǒng) (ICS) 產(chǎn)品中造成潛在安全漏洞的漏洞不斷增加。

根據(jù)Claroty 最新的 ICS 風(fēng)險和漏洞報告，今年上半年披露了 600 多個。大多數(shù)都是高或嚴(yán)重的嚴(yán)重性，可以很容易地遠(yuǎn)程利用，并使受影響的組件完全無法使用。四分之一沒有修復(fù)，或者只能部分修復(fù)。

潛伏在軟件供應(yīng)鏈中的未知漏洞可能導(dǎo)致潛在破壞的一個例子是最近在 RTOS 中命名的BadAlloc集群和來自多個供應(yīng)商的支持庫。這些可用于拒絕服務(wù)攻擊或遠(yuǎn)程代碼執(zhí)行。

點擊查看完整大小的圖片

（來源：美國國家標(biāo)準(zhǔn)與技術(shù)研究院）

數(shù)以百萬計的物聯(lián)網(wǎng)和運(yùn)營技術(shù) (OT) 設(shè)備——以及汽車和醫(yī)療設(shè)備等消費(fèi)系統(tǒng)——可能會受到影響。然而，直到微軟在 4 月份披露這些缺陷，OEM 和資產(chǎn)所有者用戶才知道這些缺陷的存在。

然而，大多數(shù)產(chǎn)品漏洞現(xiàn)在不是由受影響的供應(yīng)商發(fā)現(xiàn)的，而是由第三方研究人員等外部來源發(fā)現(xiàn)的。這就是存在漏洞披露計劃 (VDP) 的原因。正如 Bugcrowd 的2021 年漏洞披露終極指南所解釋的那樣，已建立 VDP 以提供“一種用于識別和修復(fù)在典型軟件開發(fā)周期之外發(fā)現(xiàn)的漏洞的機(jī)制”。它們通常由聯(lián)邦實體、行業(yè)組織和一些大型產(chǎn)品供應(yīng)商運(yùn)營。

跨程序沒有一致性

為響應(yīng)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 于 2020 年 9 月發(fā)布的具有約束力的運(yùn)營指令，聯(lián)邦機(jī)構(gòu)正在發(fā)布其漏洞披露政策——令人困惑的是，也以首字母縮略詞“VDP”表示。7 月，CISA宣布了其 VDP 平臺。由 Bugcrowd 和 EnDyna 提供，它將為民用聯(lián)邦機(jī)構(gòu)服務(wù)，作為一個集中管理的站點，安全研究人員和其他人可以在該站點上報告機(jī)構(gòu)網(wǎng)站中的漏洞。

羅恩布拉什

但大多數(shù) VDP 管理的是產(chǎn)品中的漏洞，而不是流程或配置。不幸的是，它們之間幾乎沒有一致性。Verve Industrial Protection 網(wǎng)絡(luò)安全洞察主管 Ron Brash 告訴EE Times ：“這些計劃無處不在：即使是美國聯(lián)邦機(jī)構(gòu)也在做自己的事情。 ” “它們都不是為了最大效率而設(shè)置的?！?即使是那些具有良好機(jī)制（例如 NIST 和 ISO/IEC 計劃）的機(jī)制，這些機(jī)制之間也存在差異：報告的內(nèi)容和方式、執(zhí)行情況以及特定組如何進(jìn)行所需的更改。

布拉什還指責(zé)報告缺乏透明度。他說，美國政府尚未為其通常購買的 COTS 類產(chǎn)品制定代碼，因此聯(lián)邦機(jī)構(gòu)沒有真正的所有權(quán)，必須充當(dāng)交通警察。“應(yīng)該做'警務(wù)'的人沒有真正了解手頭問題或其影響的知識；由于預(yù)算、審批、EoL 平臺不足或無法促使供應(yīng)商提供修復(fù)而無法有效修復(fù)漏洞；并且沒有辦法施加后果或強(qiáng)制改進(jìn)?！?/p>

對于給定的咨詢，以及在政府計劃和供應(yīng)商門戶之間同步所做的事情，也缺乏所有權(quán)。“這都是最好的努力，”布拉什說。“大型供應(yīng)商通常擁有所有權(quán)，但他們的多個業(yè)務(wù)部門可能都采取不同的做法。由于每個產(chǎn)品都可以組合多個產(chǎn)品，因此供應(yīng)商的數(shù)量會成倍增加?！?/p>

CVE 報告系統(tǒng)有局限性

CISA 贊助了美國最核心的兩個 VDP：由美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 托管的國家漏洞數(shù)據(jù)庫 (NVD)，以及由 MITRE 運(yùn)營的稍舊的常見漏洞和暴露 (CVE) 計劃，該計劃公開了詳細(xì)信息已知的漏洞。CISA 還托管ICS-CERT 公告，其中包括漏洞利用和問題。

“即使我們忽略整個披露過程和研究方面，[CVE 報告] 系統(tǒng)也是神秘而復(fù)雜的，”布拉什說。“大多數(shù)資產(chǎn)所有者不具備充分理解 OT/ICS 安全建議或?qū)ζ洳扇⌒袆铀璧闹R。因此，他們會因信息量太大而癱瘓?！?這種復(fù)雜性在觀看 Brash 的YouTube 演示文稿時變得很清楚，101 用于破譯它們。

CVE 系統(tǒng)并不包括所有內(nèi)容：越來越多的漏洞并未出現(xiàn)在那里。根據(jù) Risk Based Security的數(shù)據(jù)，7 月份發(fā)布了 2,158 個漏洞，其中 670 個沒有 CVE ID。

“CVE 僅限于影響許多公司可能使用的各種軟件的漏洞，”道德黑客組織 Sakura Samurai 的創(chuàng)始人、獨立安全研究員 John Jackson 告訴EE Times?！癧但] 漏洞可能特定于軟件中的邏輯或只有一家公司擁有的服務(wù)器?！?/p>

布拉什說，聯(lián)邦 VDP 主要針對聯(lián)邦機(jī)構(gòu)。商業(yè)公司幾乎沒有：一些行業(yè)有自己的監(jiān)管機(jī)構(gòu)，例如北美電力可靠性公司 (NERC) 的電力公司。他指出，盡管聯(lián)邦機(jī)構(gòu)的政策和程序可以反映在私營企業(yè)中，但這些政策和程序可能會隨著每次總統(tǒng)選舉而改變。

“一些開源社區(qū)項目很好地管理了漏洞披露，”布拉什說?！袄?，Linux 內(nèi)核的某些部分得到了很好的管理；其他的則不然，這甚至還沒有考慮到整個 Linux 生態(tài)系統(tǒng)。與其他免費(fèi)和開源軟件項目，甚至是各種專有產(chǎn)品相比，它們也具有高度可變的安全實踐?！?/p>

報告、披露問題

程序之間缺乏一致性，尤其是在報告方面，可能會使第三方研究人員陷入困境，更不用說《計算機(jī)欺詐和濫用法案》（CFAA）引起的潛在法律問題了。

約翰杰克遜

“許多 VDP 要求黑客不要討論他們的發(fā)現(xiàn)，但這些程序不付錢給他們，或者給他們?nèi)魏渭?，甚至進(jìn)行黑客攻擊，”杰克遜說。“此外，非安全人員通常管理不善或管理不善，這使得協(xié)作變得困難。使用 Bugcrowd 的 VDP 是一個良好的開端，因為它們可以讓黑客有效地協(xié)作，并且分類人員可以首先查看漏洞以確認(rèn)它。盡管如此，這并不能減輕對常規(guī)安全性的需求?！?/p>

NTIA Awareness and Adoption Group 2016 年的一份報告稱，“絕大多數(shù)研究人員 (92%) 通常會參與某種形式的協(xié)調(diào)漏洞披露。60% 的研究人員將采取法律行動的威脅作為他們可能不與供應(yīng)商合作披露的原因。只有 15% 的研究人員希望通過披露獲得賞金，但 70% 的研究人員希望定期就漏洞進(jìn)行溝通?！?/p>

根據(jù) Bugcrowd 的 2021 年終極指南，擁有自己的 VDP 的組織中有 87% 報告說從中獲得了嚴(yán)重漏洞。但是，雖然 99% 的人表示他們考慮通過漏洞賞金計劃加入他們的 VDP，但只有 79% 的人表示他們實際上會為“有影響力的發(fā)現(xiàn)”付費(fèi)給研究人員。

Brash 說，由于嵌入式物聯(lián)網(wǎng)產(chǎn)品中的漏洞使問題變得特別復(fù)雜，因此披露過程應(yīng)該標(biāo)準(zhǔn)化。在資產(chǎn)所有者端和 OEM 產(chǎn)品開發(fā)者端也必須有“一根棍子來執(zhí)行它”。他設(shè)想為嵌入式物聯(lián)網(wǎng)產(chǎn)品建立一個注冊表，例如用于汽車召回的產(chǎn)品。“我認(rèn)為供應(yīng)商和系統(tǒng)集成商應(yīng)該確保資產(chǎn)所有者至少了解其資產(chǎn)中的漏洞。就像汽車召回一樣，車主可以決定接受風(fēng)險，修復(fù)它，或者購買不同的產(chǎn)品?！?/p>

審核編輯 黃昊宇