近日,工业和信息化部、国家互联网信息办公室、公安部联合印发《网络产品安全漏洞管理规定》(以下简称:《规定》),并将于2021年9月1日起施行。
奇安信集团副总裁、补天漏洞响应平台主任张卓认为,该《规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。
网络产品漏洞的影响往往不会局限于一点,所有相关使用者均为受其影响。2021年1月,专注于产品生命周期管理解决方案的西门子Digital Industries Software爆出数十个漏洞,导致所有使用该款产品的企业全部受到影响,黑客利用这些漏洞就能执行恶意代码。同年5月,有报道称高通MSM芯片被曝存在高危安全漏洞(漏洞编号CVE-202011292)。高通2G、3G、4G、5G的系列芯片全部存在此漏洞。攻击者可利用该漏洞获取隐私信息监听通话将手机变成监控设备。作为向三星、LG、小米等多个手机品牌供货的芯片大厂,该高危漏洞让全球40亿的手机用户暴露在了危险之下。
该规定改变了以往攻击事件视角、网络系统视角等为主的漏洞收集及管理模式,这样的管理模式,只能解决单点问题,很难对该漏洞影响各行各业的风险情况进行全面研判和处置,本次《规定》以产品视角进行漏洞管理,就可以对上下游整个供应链进行全面地风险评估和有效处置。
一、压实责任
二、明确流程
三、清晰指引
《规定》第十条指出,任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。同时在第六条中指出,鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞,还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。”这两条规定规范了漏洞收集平台和白帽子的行为,有利于让白帽子在合法合规的条件下发挥更大的社会价值。
四、划清红线
参与该《规定》起草阶段意见征集的专家,针对两条容易产生误读的条款作出了特别深度解读:
1、有些安全研究人员认为《规定》限制了他们通过发布漏洞信息来“倒逼”不积极修复漏洞的厂商和运营者的权力,实际上《规定》对漏洞信息的发布仍然体现积极的态度,从建设整个网络安全环境来看,应该改“倒逼”为“法规”,目的是更加规范,确保真实、客观、必要。同时,《规定》中也留下了特殊情况下允许“提前”公开的渠道:“认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。”
2、针对“不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。”这一条款,有些人理解为只要网络运营者在用的产品,就不能公开其漏洞,其实这里禁止的是“具体细节揭秘式”的发布网络运营者相关漏洞。例如不能发布某企业的某个服务器上有某个微软漏洞,包括具体的IP、端口多少等等,但微软产品本身的漏洞信息在修复后是可以发布的。
他还表示:“《规定》的初衷在于禁止拿漏洞作恶,规范网络产品漏洞的处理和生命周期流程,《规定》中有相当大的篇幅都是对厂商和运营者提出漏洞收集和处理的规范要求,不能隐瞒漏洞、拒绝漏洞、否认漏洞,必须要积极承认、积极通报、积极报告、积极修复和处理、积极通知生态环境。包括厂商要积极开通接受漏洞信息的渠道、留存信息、确保及时修复、及时评估通知上下游、及时向官方通报、及时升级通报技术问题等。”
张卓介绍,补天平台先后被国家网络与信息安全信息通报中心、国家信息安全漏洞共享平台(CNVD)、国家信息安全漏洞库(CNNVD)分别评定为技术支持先进单位、漏洞信息报送突出贡献单位和一级技术支撑单位,还入选了工信部网络安全技术应用试点示范项目。补天平台建立至今,汇聚了超过8万名白帽黑客、6000余家企业入驻,拥有长达8年、极其丰富的漏洞平台运营经验。他表示:“本次颁布的《规定》将覆盖每一款网络产品,相关网络产品厂商的当务之急,是要根据要求,积极开通接受漏洞信息的渠道。补天平台将根据规定要求,不断优化提升平台能力,也有意愿帮助各大网络产品厂商,建设和运营符合要求的产品漏洞收集平台,或者像服务现有6000多家入驻企业一样,为广大厂商代收漏洞。”