最近,工业和信息化部、国家互联网信息办公室和公安部正式发布了《网络产品安全漏洞管理条例》(以下简称《条例》)。本规定规范了网络产品安全漏洞的发现、报告、修复和发布,明确了网络产品提供商和网络运营商的责任和义务,并将于2021年9月1日正式实施。
随着规定的尘埃落地,漏洞披露者有哪些?“坑”网络产品提供商需要避免什么?“责”需要尽?
漏洞披露者:坚持正义,保护自己
网络安全行业的攻防对抗无法摆脱“漏洞”牵制,在和“黑产”在竞争过程中,以防漏洞为核心的网络白色产业应运而生。恶意黑客利用漏洞谋取私利,白帽子争分夺秒,只为守护网络安全的边界。
2020年,CNVD共有19964个通用软硬件漏洞,这是“白产”与“黑产”没有人知道恶意黑客利用这些漏洞会造成什么后果,围绕漏洞的攻防对抗也将成为网络安全中永恒的主题。
在这场围绕“漏洞”的攻防对抗中,白帽子作为与恶意黑客对抗的主要力量,发挥了巨大价值,然而,在白帽子备受肯定之际,由于权责不清而导致的违规披露漏洞现象也屡见不鲜。《规定》的出台,与其说是强压责任,不如说是通过明晰权责,树立边界感,在合规的条件下,让白帽子的社会价值发挥至极致。
《条例》第九条强调,从事网络产品安全漏洞发现和收集的组织或者个人不得在网络产品提供者提供网络产品安全漏洞修复措施前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供商进行评估和协商,并向工业、信息化部、公安部报告,经工业、信息化部、公安部组织评估后发布。
“违反本规定收集、发布网络产品安全漏洞、发布网络产品安全漏洞的,依照各自的职责处理;构成《中华人民共和国网络安全法》第六十二条规定的,依照本规定处罚。”
早些时候,据《人民日报》报道,中国信息技术学院安全研究所副所长、教授高级工程师秦庆玲表示,网络安全漏洞披露是网络安全风险控制的中心环节,非标准或非法网络安全漏洞披露严重危害网络空间整体安全,甚至恶意黑客,影响国家安全、社会稳定和人民生活。
随着规定实施日期的确定,白帽子还需要从保护自己的角度合规披露漏洞,避免进入“坑”,为自己带来不必要的麻烦。
网络产品提供商:及时响应,确保及时修复和合理发布产品漏洞
如果漏洞的发现和响应是接力赛,最后一根棍子的冲刺将在白帽子向第三方平台或网络产品提供商提交漏洞时开始。
漏洞的挖掘、管理和维护需要整个产业链成员的共同努力。因此,除了规范漏洞披露者的行为外,本规定还明确了网络安全产品提供商的责任和义务。
本规定明确指出,网络产品提供商应履行网络产品安全漏洞管理义务,确保及时修复和合理发布产品安全漏洞,指导和支持产品用户采取预防措施。
据了解,白帽子选择非法披露漏洞的主要原因有两个。一是白帽子向厂家提交漏洞后,部分厂家没有及时反馈,甚至没有反馈;二是白帽子没有意识到随意披露漏洞是违法的。
强调网络产品提供商的责任和义务的规定也将有效避免制造商“不作为”导致白帽子非法披露漏洞。“在发现或了解提供的网络产品存在安全漏洞后,应立即采取措施,组织验证安全漏洞,评估安全漏洞的危害程度和影响范围,并立即通知上游产品或部件的安全漏洞。”
此外,该规定还指出,鼓励网络产品提供商建立提供网络产品安全漏洞的奖励机制,并奖励发现和通知提供网络产品安全漏洞的组织或个人。
目前,无论是从主要制造商不断完善安全应急响应中心的漏洞审计机制,还是从不断增加漏洞奖励的角度,主要制造商都意识到白帽子的重要性,越来越重视白帽子的努力。
例如,2020年,腾讯首次推出百万奖金池,单个漏洞最高奖励20万元;滴滴在2021年增加了年度奖励规范中的奖金名额;2021年,深信服升级奖励机制,税后最高奖励50万元……
在与“黑产”在竞争中,白帽需要先发现漏洞的高超技术,白帽需要与网络安全产品提供商的顺利交接,网络安全产品提供商的快速反应……
共建网络安全防线不是靠一个人,而是靠一群人。这些人可能因为误会而产生误解和争执,但他们总是带着它“守护网络安全,我们这一代人义不容辞”随着《条例》的正式出台和规范的明确,我相信这群人在网络安全守卫战的道路上会更加顺利。