【资安周报第6期】企业应该如何面对外界提供的漏洞通报呢？最新消息

从去年开始，在中国漏洞通报平台乌云上的台湾地区的资讯中，看到有陆续有许多台湾企业系统、网站漏洞揭露的讯息，但是，仍有不少企业面对这样的漏洞通报，抱持否定态度。

网络搜寻业者Google有一个专门寻找各种零时差（Zero Day）漏洞的计划小组Google Project Zero，许多人也都昵称抓虫大队，主要抓的就是各种软硬件产品中，可能因为人为失误或者各种配置失当种种原因，造成产品出现可以被骇客利用的漏洞，而这些漏洞如果在还没有修补程式出现时就已经对外揭露，就是所谓的零时差漏洞，非常容易成为骇客攻击和利用的缺口和漏洞。

在本周才刚发生Google Project Zero资安研究员Tavis Ormandy发现，资安公司趋势科技提供的PC-cillin防毒产品中的密码管理机制Password Manager的模组有问题，在台湾时间1月6日清晨5点多写信给趋势科技后，在趋势科技修补该程式几天后，在台湾时间1月12日就公布攻击程式和漏洞报告。

从这个过程中，趋势科技就是接受外界漏洞通报的企业。也或许这些资安公司原本就已经意识到，不可能有完美没有缺失的产品，看趋势科技和Tavis Ormandy互动的过程中，都是感谢资安研究员Tavis Ormandy愿意提供找到的漏洞资讯，让趋势科技有机会作后续的产品漏洞修补。

只不过，这次让人略有微词的部分在于，Tavis Ormandy在漏洞资料提供给趋势科技作后续修补，不到一周的时间，就释出完整报告和攻击程式。而Tavis Ormandy过往也曾经有类似的经验，他在完成跟当事者的漏洞通报后，通常在几天之内，只要当事者看起来已经开始修补漏洞，Tavis Ormandy觉得起来可能修补的差不多情况下，就会公布漏洞报告和攻击程式。微软先前也曾经抨击，相关漏洞在使用者众的前提下，应该要给业者更多时间，让他们来得及让更多使用者，及时完成漏洞修补。

但是，不论Tavis Ormandy的作法带有多少争议，可以确认的是，许多国外的厂商甚至是企业，对于漏洞通报这件事情，早已经习以为常，只要不是恶意的方式，当事者也都会以正面的态度，面对所有的漏洞通报。而这种正面面对漏洞通报的态度，都有助于业者降低资安风险。

台湾企业面对漏洞通报态度灰色，有害企业资安防护程度

反观台湾企业，面对漏洞通报的态度却大不相同，甚至，还会有被通报的当事者误以为，只要花得起钱，甚至可以要漏洞通报的单位，隐匿受害的讯息。台湾企业这样的想法，反而让台湾漏洞通报处于一个无法被正面看待的灰色地带。

从去年开始，有许多企业开始在中国的漏洞通报平台：乌云（WooYun.org）的台湾地区分类中，看到许多产品、系统或网站的漏洞被公布，从去年10月开始，则有台湾骇客年会（HITCON）转型的台湾骇客协会（HIT）的HITCON ZeroDay漏洞通报，协助通报漏洞在乌云上被揭露的台湾企业。

曾经询问过负责HITCON ZeroDay漏洞通报平台负责人，也是台湾骇客协会常务理事翁浩正对于台湾企业面对漏洞通报的看法。他认为，因为HITCON除了验证来自乌云的漏洞外，通报企业的漏洞的过程中，也会指导修补、协助复测，多数企业态度比较正面，但仍不乏少数企业，希望可以付钱给乌云，希望乌云可以把揭露企业漏洞的讯息下架。当然，这是涉及乌云通报的制度，但从这里却也可以看出来，还是有很多企业在面对漏洞修补的态度，往往不愿意正面面对、甚至希望可以隐匿讯息，看起来，的确相当负面。

台湾常见漏洞通报平台有3，要先面对漏洞，才能解决漏洞问题

要能够先面对问题，才有办法解决问题，所以，要协助企业解决资安问题，第一优先就是要先知道问题发生在哪里，而漏洞通报就是一个告知企业风险发生在哪里的程序。

台湾目前提供漏洞通报的平台，除了上述HITCON ZeroDay通报平台外，另外还有独立的漏洞通报平台VulReport，及由目前由中山科学研究院承接的TWCERT/CC（台湾电脑网络危机处理暨协调中心）。
其中，HITCON ZeroDay通报平台接收到的漏洞通报讯息，包含企业和政府，若是企业通报部分，则会由该单位作为乌云和企业之间的一个缓冲，由台湾方面协助通报企业；政府部门，则由TWCERT/CC协助通报政府相关的漏洞。

毕竟，各个政府单位的漏洞通报若能透过CERT通报，比较可以按照政府的原本的流程处理通报和了解漏洞真实性，也可以节省通报平台寻找各个政府单位资安窗口的时间。

以HITCON ZeroDay通报平台为例，一般性的漏洞通报，都会希望企业最晚可以在60天内完成修补，如果是严重的漏洞，则会缩短漏洞修补的时间，不然，漏洞危害则会更加剧。

企业面对漏洞的态度应该要学会把骇客当成自己的朋友

不论是哪一个漏洞通报平台，基本上都是所谓的白帽骇客，希望透过正当的通报程序，协助受害企业改善资安漏洞。

面对漏洞通报最重要的是企业的心态，如果企业可以正面看待漏洞通报，学会把骇客当成自己的朋友，甚至有提供公开的漏洞通报窗口，都有助于企业缩短漏洞应变的时间，也可以减少沟通上的失误。

当然，这个漏洞通报的层级绝对不可以太低，否则，在员工“多一事不如少一事”的心态下，就可能默默的把这样的漏洞资讯搓掉了。因此，这样的资安漏洞通报窗口至少要是主管层级才行，让漏洞通报平台以及外部资安人员找到相关的安全议题实，可以快速的找到正确的资安通报窗口，避免以往必须透过业务或者是客服窗口转达漏洞资讯时，因为相关单位无法判断严重性，造成讯息转达时的失误或效率差情况。

毕竟，企业可以直接修补漏洞，一定会比漏洞被骇客或其他黑色产业利用来的好；而企业同时，可以对于通报漏洞的平台或资安人员给予适度的奖励，像是乌云则是以积分奖励通报漏洞的资安研究员，也有部分单位会提供少数金钱奖励，都是可以协助整个漏洞通报循环更为正面的方式。

所以说，企业面对漏洞通报时，只要可以做到下面4点，就可以让整个漏洞通报走向正面循环。首先，了解漏洞的细节说明、带来的影响；其次，告知通报者、通报单位此漏洞是否已经被内部确认，接下来会怎么处理这个漏洞，预计什么时候处理完毕；第三，处理完毕后告知通报者、通报平台已经处理完毕，请通报平台作为后续公布和处理；最后，企业可以选择性给予通报者及通报平台适度奖励，让整个漏洞通报更为正面。

文过饰非其实是人的天性，面对疏失时，我们多数会缺乏足够面对错误的勇气。但是，学会面对错误、拥抱错误，其实是一种自我提升的方式，企业面对未知的漏洞通报时，若也能抱持同样正面面对的态度，一定有助于企业提高风险防护能力。

本周重要资安事件回顾：

※OpenSSH爆重大安全漏洞，可能导致加密金钥外泄

※要小心! Android木马伪装33家网络银行App伺机窃取帐密

※美官员警告，针对工控系统的网络攻击正在增加

※Hacking Team外泄文件让卡巴斯基找到微软Silverlight漏洞

※视讯摄影机经过改造，可作为入侵使用者网络的媒介

※Arbor Networks揭露新的RAT程式Trochilus

※Cisco UCS服务器搞乌龙，搞错产品预设密码7周后才发现

※微软释出旧版IE最后一次安全更新

※Windows 8自1月12日起终止技术支援

※趋势PC-cillin密码管理惊爆漏洞，防毒软件恐成PC遭骇帮凶，Google专家直批荒谬