近日,工業和資訊化部、國家網際網路資訊辦公室、公安部正式印發《網路產品安全漏洞管理規定》(以下簡稱《規定》)。《規定》規範了網路產品安全漏洞發現、報告、修補和釋出等行為,明確網路產品提供者、網路運營者的責任和義務,並將於2021年9月1日正式施行。
隨著《規定》的塵埃落地,對漏洞披露者來說,有哪些“坑”需要規避?對網路產品提供者來說,又有哪些“責”需要盡?
漏洞披露者:合規披露 堅守正義也要保護自己
網路安全行業中的攻防對抗始終擺脫不了“漏洞”的牽制,在與“黑產”較量的過程中,以防漏洞為核心的網路白色產業應運而生,惡意駭客利用漏洞牟取私利,白帽子爭分奪秒負隅頑抗,只為守衛網路安全的邊界。
2020年,CNVD共收錄通用軟硬體漏洞19964個,這是“白產”與“黑產”較量中可量化的成果之一,沒有人知道如果這些漏洞被惡意駭客利用,會造成什麼樣的後果,圍繞漏洞的攻防對抗也將成為網路安全中永恆的主題。
在這場圍繞“漏洞”的攻防對抗中,白帽子作為與惡意駭客對抗的主要力量,發揮了巨大價值,然而,在白帽子備受肯定之際,由於權責不清而導致的違規披露漏洞現象也屢見不鮮。《規定》的出臺,與其說是強壓責任,不如說是透過明晰權責,樹立邊界感,在合規的條件下,讓白帽子的社會價值發揮至極致。
《規定》第九條強調,從事網路產品安全漏洞發現、收集的組織或者個人不得在網路產品提供者提供網路產品安全漏洞修補措施之前釋出漏洞資訊;認為有必要提前釋出的,應當與相關網路產品提供者共同評估協商,並向工業和資訊化部、公安部報告,由工業和資訊化部、公安部組織評估後進行釋出。
“違反本規定收集、釋出網路產品安全漏洞資訊的,由工業和資訊化部、公安部依據各自職責依法處理;構成《中華人民共和國網路安全法》第六十二條規定情形的,依照該規定予以處罰。”
早前,據人民網報導,中國信通院安全研究所副所長、教授級高階工程師覃慶玲表示,網路安全漏洞披露是網路安全風險控制的中心環節,不規範或非法的網路安全漏洞披露嚴重危害網路空間整體安全,甚至被惡意駭客利用,影響國家安全、社會穩定和民眾生活。
隨著《規定》實施日期的確定,白帽子們也需要從保護自己的角度出發,合規披露漏洞,避免入“坑”,為自己帶來不必要的麻煩。
網路產品提供者:及時響應 確保產品漏洞得到及時修補和合理髮布
如果說漏洞的發現與響應是接力賽,那在白帽子將漏洞提交給第三方平臺或者網路產品提供者之際,最後一棒的衝刺就開始了。
漏洞的發掘、管理和維護,需要全產業鏈的成員共同努力。因此,除了規範漏洞披露者的行為,《規定》還對網路安全產品提供者的責任和義務進行了明確的劃分。
《規定》明確指出,網路產品提供者應當履行網路產品安全漏洞管理義務,確保其產品安全漏洞得到及時修補和合理髮布,並指導支援產品使用者採取防範措施。
據瞭解,白帽子選擇違規揭露漏洞主要有兩個原因,一是是白帽子在向廠商提交漏洞後,有的廠商沒有及時反饋甚至是不予反饋;二是白帽子沒有意識到隨意披露漏洞的行為已違規。
《規定》中對網路產品提供者責任和義務的強調,也將有效規避由於廠商“不作為”而導致白帽子違規披露漏洞的情況。“發現或者獲知所提供網路產品存在安全漏洞後,應當立即採取措施並組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響範圍,對屬於其上游產品或者元件存在的安全漏洞,應當立即通知相關產品提供者。”
此外,《規定》還指出,鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制,對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。
目前,不論是從各大廠商在不斷完善安全應急響應中心的漏洞稽核機制來看,還是從不斷加大漏洞獎勵力度來看,各大廠商均意識到白帽子的重要性,也越來越重視白帽子的付出。
如2020年,騰訊首次推出了百萬獎金池,單個漏洞額外獎勵最高可達20萬元;滴滴於2021年增加了年度獎勵規範中獲獎金的名額;2021年,深信服升級獎勵機制,單個漏洞稅後最高獎勵金額達50萬元……
在與“黑產”的較量中,需要白帽子搶先一步發現漏洞的高超技術,需要白帽子與網路安全產品提供者的順暢交接,更需要網路安全產品提供者的迅速反應……
共築網路安全防線,靠的不是一個人,而是一群人,這群人也許會因為誤會而產生過誤解,因為誤解而起過爭執,但他們始終帶著“守衛網路安全,我輩義不容辭”的理念,在各自的崗位上堅守奮戰,隨著《規定》的正式出臺和規範的明晰,未來,相信這群人在網路安全守衛戰的道路上將走的更加順暢。