接收并響應第三方安全通報的六個技巧

Jaikumar Vijayan 陳琳華

在安全研究員、執(zhí)法機構或業(yè)務合作伙伴等外部機構提醒系統(tǒng)存在被入侵或被破壞的危險之前，組織機構，尤其是大企業(yè)通常都不會察覺到這些危險。隨著攻擊方法的不斷擴散，開源組件的使用日益增多，以及云服務的大量采用，許多企業(yè)面臨的攻擊面也在不斷地擴大。令人尷尬的是，企業(yè)自己的安全團隊已經變得越來越難以發(fā)現這些漏洞。例如，入侵者已經攻破了SolarWinds公司的系統(tǒng)并通過該公司的軟件不斷傳播惡意軟件，但是SolarWinds卻一直沒有察覺到，直到安全廠商FireEye向SolarWinds通報了相關漏洞，SolarWinds才如夢初醒。

許多企業(yè)的漏洞在長達數月的時間里都沒能得到修復，根本原因在于企業(yè)的內部安全團隊沒有發(fā)現它們，SolarWinds案例只是其中的一個典型案例而已。因此，近年來，接收和響應由外部機構提供的安全情報（無論是漏洞通知還是新的重大威脅），對于企業(yè)來說正變得越來越重要。

負責為Coalfire公司的高層提供網絡策略建議的John Hellickson說：“任何提供網絡產品或服務的企業(yè)都應建立起一套接收和響應機制，以便外部機構能夠向其通報可能對其產品或服務產生影響的潛在問題。”

以下是企業(yè)有效建立起這種能力的六個技巧：

1.制定詳細的漏洞報告制度

市場研究機構IDC負責安全研究的副總裁Pete Lindstrom說，企業(yè)應當確保向所有有意向其報告安全或隱私問題的外部機構明確告知企業(yè)的漏洞報告制度，闡明企業(yè)期望外部機構以負責任的方式通報漏洞，并提供電子郵件地址、電話號碼等外部機構可以向其通報安全或隱私問題的方式。

企業(yè)還應對外闡明其處理、調查和解決這些報告或信息的方式，并讓第三方機構了解企業(yè)審查和解決問題的速度或時間，以便讓他們知道自己提供的信息沒有被忽視。此外，企業(yè)還應向第三方機構闡明企業(yè)的政策，如果通報的情況屬實，企業(yè)將會給予獎勵。如果情況不屬實，那么企業(yè)也要明確地告知他們不會對其提供的情況給予獎勵。

Lindstrom說：“管理好第三方的期望對企業(yè)的成功和聲譽至關重要。因此，當第三方向企業(yè)提供安全或隱私問題時，準確地知道他們期望得到什么，對于企業(yè)來說很重要。”

標準普爾全球市場情報公司（S&P Global Market Intelligence）信息安全研究主管Scott Crawford建議，企業(yè)應該利用ISO/IEC 30111標準中的指南來指導漏洞處理工作。Crawford指出，在處理第三方漏洞報告時，這些標準可為如何制定處置規(guī)則提供指導。

2.制定內部漏洞管理計劃

Lindstrom稱，不管企業(yè)是否希望從外部獲得安全情報，都應在內部建立起應用程序安全和漏洞管理程序。對于企業(yè)來說，部署最佳實踐（例如定期進行漏洞掃描，打上安全補丁等）非常重要，這樣可以有效降低風險，先于外部機構發(fā)現各種漏洞。他說：“企業(yè)應積極地將部署最佳實踐作為自身安全計劃的一個重要組成部分。在考慮與外部研究人員合作之前，應在內部先形成合力。”

Hellickson也指出：“對于企業(yè)來說，針對不同的示例場景進行測試也是一種不錯的做法，這樣可以發(fā)現一些問題，并讓執(zhí)行團隊和法律顧問參與其中。桌面演練也是安全意識教育一個重要手段。”

3.在事件管理流程中建立外部安全通報響應機制

確保企業(yè)的事件管理團隊制定有響應（漏洞搜尋者、業(yè)務合作伙伴、執(zhí)法部門或客戶的）外部安全通報的機制。Hellickson說：“企業(yè)事故處理團隊制定有響應來自內部安全工具、計算系統(tǒng)、網絡傳感器等警報的機制。和事故處理團隊一樣，企業(yè)也需要制定調查和響應外部安全通報的機制。所有的事件處理和響應機制都應有一個明確的流程，以對情報來源進行優(yōu)先排序、審查和分類，直至問題被解決。”

Hellickson認為，這個機制還應有一個內置的升級程序，并提前明確團隊成員在此類事件中的角色和職責。考慮到網絡攻擊種類繁多，企業(yè)應制定清晰的事件處理和響應計劃，對事件信息接收的每個環(huán)節(jié)進行詳細說明并對這些信息進行適當分類。

Pathlock的董事長Kevin Dunne指出，如果需要對生產代碼中的漏洞進行響應，那么事件管理團隊需要做好全力以赴的準備。他說：“若不對這些漏洞加以解決，那么這些漏洞很快就會在黑市上被出售。如果補救不及時，那么這些漏洞就可能被不法分子利用。”

4.做好從其他部門抽調人員的準備

那些用于接收外部安全通報的郵箱和電話號碼必須由IT或安全部門負責。這兩個部門要做好隨時調查和修補問題的準備。制定一個在需要時可快速從企業(yè)其他部門抽調人手的計劃同樣非常重要。Lindstrom指出，這是因為在與外部安全研究人員或漏洞搜尋者合作時，誰都無法預測事件將會如何發(fā)展。

例如，外部研究人員可能希望通過報告漏洞而獲得獎勵，但是企業(yè)沒有關于處理此類漏洞報告的明確規(guī)定。在這種情況下，安全團隊可能需要法務部門的人員與外部研究人員進行談判。Lindstrom說：“漏洞報告處理不當可能會損害企業(yè)的聲譽和品牌。讓溝通團隊和營銷團隊的成員參與進來可能會起到意想不到的效果。在漏洞報告處理方面，存在著大量的變量。整個事情的處理實際上與溝通交流和聲譽有著密切地聯(lián)系。”

5.制定漏洞托管協(xié)作/漏洞獎勵計劃

大型企業(yè)和具有重要公眾形象的機構應考慮與HackerOne和BugCrowd等漏洞披露機構簽約。此類計劃為外部各方提供了一種機制。在這種機制下，外部能夠以負責任的方式向企業(yè)通報他們發(fā)現的漏洞或隱私泄露問題。