网络搜寻业者Google有一个专门寻找各种零时差(Zero Day)漏洞的计划小组Google Project Zero,许多人也都昵称抓虫大队,主要抓的就是各种软硬件产品中,可能因为人为失误或者各种配置失当种种原因,造成产品出现可以被骇客利用的漏洞,而这些漏洞如果在还没有修补程式出现时就已经对外揭露,就是所谓的零时差漏洞,非常容易成为骇客攻击和利用的缺口和漏洞。
在本周才刚发生Google Project Zero资安研究员Tavis Ormandy发现,资安公司趋势科技提供的PC-cillin防毒产品中的密码管理机制Password Manager的模组有问题,在台湾时间1月6日清晨5点多写信给趋势科技后,在趋势科技修补该程式几天后,在台湾时间1月12日就公布攻击程式和漏洞报告。
从这个过程中,趋势科技就是接受外界漏洞通报的企业。也或许这些资安公司原本就已经意识到,不可能有完美没有缺失的产品,看趋势科技和Tavis Ormandy互动的过程中,都是感谢资安研究员Tavis Ormandy愿意提供找到的漏洞资讯,让趋势科技有机会作后续的产品漏洞修补。
只不过,这次让人略有微词的部分在于,Tavis Ormandy在漏洞资料提供给趋势科技作后续修补,不到一周的时间,就释出完整报告和攻击程式。而Tavis Ormandy过往也曾经有类似的经验,他在完成跟当事者的漏洞通报后,通常在几天之内,只要当事者看起来已经开始修补漏洞,Tavis Ormandy觉得起来可能修补的差不多情况下,就会公布漏洞报告和攻击程式。微软先前也曾经抨击,相关漏洞在使用者众的前提下,应该要给业者更多时间,让他们来得及让更多使用者,及时完成漏洞修补。
但是,不论Tavis Ormandy的作法带有多少争议,可以确认的是,许多国外的厂商甚至是企业,对于漏洞通报这件事情,早已经习以为常,只要不是恶意的方式,当事者也都会以正面的态度,面对所有的漏洞通报。而这种正面面对漏洞通报的态度,都有助于业者降低资安风险。
台湾企业面对漏洞通报态度灰色,有害企业资安防护程度
反观台湾企业,面对漏洞通报的态度却大不相同,甚至,还会有被通报的当事者误以为,只要花得起钱,甚至可以要漏洞通报的单位,隐匿受害的讯息。台湾企业这样的想法,反而让台湾漏洞通报处于一个无法被正面看待的灰色地带。
从去年开始,有许多企业开始在中国的漏洞通报平台:乌云(WooYun.org)的台湾地区分类中,看到许多产品、系统或网站的漏洞被公布,从去年10月开始,则有台湾骇客年会(HITCON)转型的台湾骇客协会(HIT)的HITCON ZeroDay漏洞通报,协助通报漏洞在乌云上被揭露的台湾企业。
曾经询问过负责HITCON ZeroDay漏洞通报平台负责人,也是台湾骇客协会常务理事翁浩正对于台湾企业面对漏洞通报的看法。他认为,因为HITCON除了验证来自乌云的漏洞外,通报企业的漏洞的过程中,也会指导修补、协助复测,多数企业态度比较正面,但仍不乏少数企业,希望可以付钱给乌云,希望乌云可以把揭露企业漏洞的讯息下架。当然,这是涉及乌云通报的制度,但从这里却也可以看出来,还是有很多企业在面对漏洞修补的态度,往往不愿意正面面对、甚至希望可以隐匿讯息,看起来,的确相当负面。
台湾常见漏洞通报平台有3,要先面对漏洞,才能解决漏洞问题
要能够先面对问题,才有办法解决问题,所以,要协助企业解决资安问题,第一优先就是要先知道问题发生在哪里,而漏洞通报就是一个告知企业风险发生在哪里的程序。
台湾目前提供漏洞通报的平台,除了上述HITCON ZeroDay通报平台外,另外还有独立的漏洞通报平台VulReport,及由目前由中山科学研究院承接的TWCERT/CC(台湾电脑网络危机处理暨协调中心)。
其中,HITCON ZeroDay通报平台接收到的漏洞通报讯息,包含企业和政府,若是企业通报部分,则会由该单位作为乌云和企业之间的一个缓冲,由台湾方面协助通报企业;政府部门,则由TWCERT/CC协助通报政府相关的漏洞。
毕竟,各个政府单位的漏洞通报若能透过CERT通报,比较可以按照政府的原本的流程处理通报和了解漏洞真实性,也可以节省通报平台寻找各个政府单位资安窗口的时间。
以HITCON ZeroDay通报平台为例,一般性的漏洞通报,都会希望企业最晚可以在60天内完成修补,如果是严重的漏洞,则会缩短漏洞修补的时间,不然,漏洞危害则会更加剧。
企业面对漏洞的态度应该要学会把骇客当成自己的朋友
不论是哪一个漏洞通报平台,基本上都是所谓的白帽骇客,希望透过正当的通报程序,协助受害企业改善资安漏洞。
面对漏洞通报最重要的是企业的心态,如果企业可以正面看待漏洞通报,学会把骇客当成自己的朋友,甚至有提供公开的漏洞通报窗口,都有助于企业缩短漏洞应变的时间,也可以减少沟通上的失误。
当然,这个漏洞通报的层级绝对不可以太低,否则,在员工“多一事不如少一事”的心态下,就可能默默的把这样的漏洞资讯搓掉了。因此,这样的资安漏洞通报窗口至少要是主管层级才行,让漏洞通报平台以及外部资安人员找到相关的安全议题实,可以快速的找到正确的资安通报窗口,避免以往必须透过业务或者是客服窗口转达漏洞资讯时,因为相关单位无法判断严重性,造成讯息转达时的失误或效率差情况。
毕竟,企业可以直接修补漏洞,一定会比漏洞被骇客或其他黑色产业利用来的好;而企业同时,可以对于通报漏洞的平台或资安人员给予适度的奖励,像是乌云则是以积分奖励通报漏洞的资安研究员,也有部分单位会提供少数金钱奖励,都是可以协助整个漏洞通报循环更为正面的方式。
所以说,企业面对漏洞通报时,只要可以做到下面4点,就可以让整个漏洞通报走向正面循环。首先,了解漏洞的细节说明、带来的影响;其次,告知通报者、通报单位此漏洞是否已经被内部确认,接下来会怎么处理这个漏洞,预计什么时候处理完毕;第三,处理完毕后告知通报者、通报平台已经处理完毕,请通报平台作为后续公布和处理;最后,企业可以选择性给予通报者及通报平台适度奖励,让整个漏洞通报更为正面。
文过饰非其实是人的天性,面对疏失时,我们多数会缺乏足够面对错误的勇气。但是,学会面对错误、拥抱错误,其实是一种自我提升的方式,企业面对未知的漏洞通报时,若也能抱持同样正面面对的态度,一定有助于企业提高风险防护能力。
本周重要资安事件回顾:
※要小心! Android木马伪装33家网络银行App伺机窃取帐密
※Hacking Team外泄文件让卡巴斯基找到微软Silverlight漏洞
※Arbor Networks揭露新的RAT程式Trochilus
※Cisco UCS服务器搞乌龙,搞错产品预设密码7周后才发现
※趋势PC-cillin密码管理惊爆漏洞,防毒软件恐成PC遭骇帮凶,Google专家直批荒谬
※英特尔Skylake处理器臭虫问题会在复杂工作中导致PC当机
※横行欧洲,以恶意程式盗领736万元ATM现金的骇客集团被逮
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09