《網絡產品安全漏洞管理規定》出臺,漏洞披露者的緊箍咒?
近日,工業和信息化部、國家互聯網信息辦公室、公安部正式印發《網絡產品安全漏洞管理規定》(以下簡稱《規定》)。《規定》規范了網絡產品安全漏洞發現、報告、修補和發布等行為,明確網絡產品提供者、網絡運營者的責任和義務,并將于2021年9月1日正式施行。
隨著《規定》的塵埃落地,對漏洞披露者來說,有哪些“坑”需要規避?對網絡產品提供者來說,又有哪些“責”需要盡?
漏洞披露者:合規披露堅守正義也要保護自己
網絡安全行業中的攻防對抗始終擺脫不了“漏洞”的牽制,在與“黑產”較量的過程中,以防漏洞為核心的網絡白色產業應運而生,惡意黑客利用漏洞牟取私利,白帽子爭分奪秒負隅頑抗,只為守衛網絡安全的邊界。
2020年,CNVD共收錄通用軟硬件漏洞19964個,這是“白產”與“黑產”較量中可量化的成果之一,沒有人知道如果這些漏洞被惡意黑客利用,會造成什么樣的后果,圍繞漏洞的攻防對抗也將成為網絡安全中永恒的主題。
在這場圍繞“漏洞”的攻防對抗中,白帽子作為與惡意黑客對抗的主要力量,發揮了巨大價值,然而,在白帽子備受肯定之際,由于權責不清而導致的違規披露漏洞現象也屢見不鮮。《規定》的出臺,與其說是強壓責任,不如說是通過明晰權責,樹立邊界感,在合規的條件下,讓白帽子的社會價值發揮至極致。
《規定》第九條強調,從事網絡產品安全漏洞發現、收集的組織或者個人不得在網絡產品提供者提供網絡產品安全漏洞修補措施之前發布漏洞信息;認為有必要提前發布的,應當與相關網絡產品提供者共同評估協商,并向工業和信息化部、公安部報告,由工業和信息化部、公安部組織評估后進行發布。
“違反本規定收集、發布網絡產品安全漏洞信息的,由工業和信息化部、公安部依據各自職責依法處理;構成《中華人民共和國網絡安全法》第六十二條規定情形的,依照該規定予以處罰。”
早前,據人民網報道,中國信通院安全研究所副所長、教授級高級工程師覃慶玲表示,網絡安全漏洞披露是網絡安全風險控制的中心環節,不規范或非法的網絡安全漏洞披露嚴重危害網絡空間整體安全,甚至被惡意黑客利用,影響國家安全、社會穩定和民眾生活。
隨著《規定》實施日期的確定,白帽子們也需要從保護自己的角度出發,合規披露漏洞,避免入“坑”,為自己帶來不必要的麻煩。
網絡產品提供者:及時響應確保產品漏洞得到及時修補和合理發布
如果說漏洞的發現與響應是接力賽,那在白帽子將漏洞提交給第三方平臺或者網絡產品提供者之際,最后一棒的沖刺就開始了。
漏洞的發掘、管理和維護,需要全產業鏈的成員共同努力。因此,除了規范漏洞披露者的行為,《規定》還對網絡安全產品提供者的責任和義務進行了明確的劃分。
《規定》明確指出,網絡產品提供者應當履行網絡產品安全漏洞管理義務,確保其產品安全漏洞得到及時修補和合理發布,并指導支持產品用戶采取防范措施。
據了解,白帽子選擇違規揭露漏洞主要有兩個原因,一是是白帽子在向廠商提交漏洞后,有的廠商沒有及時反饋甚至是不予反饋;二是白帽子沒有意識到隨意披露漏洞的行為已違規。
《規定》中對網絡產品提供者責任和義務的強調,也將有效規避由于廠商“不作為”而導致白帽子違規披露漏洞的情況。“發現或者獲知所提供網絡產品存在安全漏洞后,應當立即采取措施并組織對安全漏洞進行驗證,評估安全漏洞的危害程度和影響范圍,對屬于其上游產品或者組件存在的安全漏洞,應當立即通知相關產品提供者。”
此外,《規定》還指出,鼓勵網絡產品提供者建立所提供網絡產品安全漏洞獎勵機制,對發現并通報所提供網絡產品安全漏洞的組織或者個人給予獎勵。
目前,不論是從各大廠商在不斷完善安全應急響應中心的漏洞審核機制來看,還是從不斷加大漏洞獎勵力度來看,各大廠商均意識到白帽子的重要性,也越來越重視白帽子的付出。
如2020年,騰訊首次推出了百萬獎金池,單個漏洞額外獎勵最高可達20萬元;滴滴于2021年增加了年度獎勵規范中獲獎金的名額;2021年,深信服升級獎勵機制,單個漏洞稅后最高獎勵金額達50萬元……
在與“黑產”的較量中,需要白帽子搶先一步發現漏洞的高超技術,需要白帽子與網絡安全產品提供者的順暢交接,更需要網絡安全產品提供者的迅速反應……
共筑網絡安全防線,靠的不是一個人,而是一群人,這群人也許會因為誤會而產生過誤解,因為誤解而起過爭執,但他們始終帶著“守衛網絡安全,我輩義不容辭”的理念,在各自的崗位上堅守奮戰,隨著《規定》的正式出臺和規范的明晰,未來,相信這群人在網絡安全守衛戰的道路上將走的更加順暢。
