近日,工业和信息化部、国家互联网信息办公室、公安部正式印发《网络产品安全漏洞管理规定》(以下简称《规定》)。《规定》规范了网络产品安全漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者的责任和义务,并将于2021年9月1日正式施行。
随着《规定》的尘埃落地,对漏洞披露者来说,有哪些“坑”需要规避?对网络产品提供者来说,又有哪些“责”需要尽?
漏洞,“核武器”一般的存在,网络安全行业中的攻防对抗始终摆脱不了“漏洞”的牵制,在与“黑产”较量的过程中,以防漏洞为核心的网络白色产业应运而生,恶意黑客利用漏洞牟取私利,白帽子争分夺秒负隅顽抗,只为守卫网络安全的边界。
2020年,CNVD共收录通用软硬件漏洞19964个,这是“白产”与“黑产”较量中可量化的成果之一,没有人知道如果这些漏洞被恶意黑客利用,会造成什么样的后果,围绕漏洞的攻防对抗也将成为网络安全中永恒的主题。
在这场围绕“漏洞”的攻防对抗中,白帽子作为与恶意黑客对抗的主要力量,发挥了巨大价值,然而,在白帽子备受肯定之际,由于权责不清而导致的违规披露漏洞现象也屡见不鲜。《规定》的出台,与其说是强压责任,不如说是通过明晰权责,树立边界感,在合规的条件下,让白帽子的社会价值发挥至极致。
《规定》第九条强调,从事网络产品安全漏洞发现、收集的组织或者个人不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
“违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。”
早前,据人民网报道,中国信通院安全研究所副所长、教授级高级工程师覃庆玲表示,网络安全漏洞披露是网络安全风险控制的中心环节,不规范或非法的网络安全漏洞披露严重危害网络空间整体安全,甚至被恶意黑客利用,影响国家安全、社会稳定和民众生活。
随着《规定》实施日期的确定,白帽子们也需要从保护自己的角度出发,合规披露漏洞,避免入“坑”,为自己带来不必要的麻烦。
如果说漏洞的发现与响应是接力赛,那在白帽子将漏洞提交给第三方平台或者网络产品提供者之际,最后一棒的冲刺就开始了。
漏洞的发掘、管理和维护,需要全产业链的成员共同努力。因此,除了规范漏洞披露者的行为,《规定》还对网络安全产品提供者的责任和义务进行了明确的划分。
《规定》明确指出,网络产品提供者应当履行网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施。
据了解,白帽子选择违规揭露漏洞主要有两个原因:
一是是白帽子在向厂商提交漏洞后,有的厂商没有及时反馈甚至是不予反馈;
二是白帽子没有意识到随意披露漏洞的行为已违规。
《规定》中对网络产品提供者责任和义务的强调,也将有效规避由于厂商“不作为”而导致白帽子违规披露漏洞的情况。“发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围,对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。”
此外,《规定》还指出,鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。
目前,不论是从各大厂商在不断完善安全应急响应中心的漏洞审核机制来看,还是从不断加大漏洞奖励力度来看,各大厂商均意识到白帽子的重要性,也越来越重视白帽子的付出。
如2020年,腾讯首次推出了百万奖金池,单个漏洞额外奖励最高可达20万元;滴滴于2021年增加了年度奖励规范中获奖金的名额;2021年,深信服升级奖励机制,单个漏洞税后最高奖励金额达50万元……
在与“黑产”的较量中,需要白帽子抢先一步发现漏洞的高超技术,需要白帽子与网络安全产品提供者的顺畅交接,更需要网络安全产品提供者的迅速反应……
共筑网络安全防线,靠的不是一个人,而是一群人,这群人也许会因为误会而产生过误解,因为误解而起过争执,但他们始终带着“守卫网络安全,我辈义不容辞”的理念,在各自的岗位上坚守奋战,随着《规定》的正式出台和规范的明晰,未来,相信这群人在网络安全守卫战的道路上将走的更加顺畅。