要守护好自己啊 白帽子们
发布时间:2022-07-29 10:19:18 所属栏目:安全 来源:互联网
导读:先抛出我们的观点,不管是个人还是组织,如果找到了哪家安全厂商的产品漏洞,不论是从维护整个网络安全产业秩序的角度出发,还是从个人保护自己的角度出发,都建议大家按照《网络安全漏洞管理规定》,依法披露漏洞。 从维护整个网络安全产业秩序,共建和谐社
|
先抛出我们的观点,不管是个人还是组织,如果找到了哪家安全厂商的产品漏洞,不论是从维护整个网络安全产业秩序的角度出发,还是从个人保护自己的角度出发,都建议大家按照《网络安全漏洞管理规定》,依法披露漏洞。 从维护整个网络安全产业秩序,共建和谐社会的角度来看。安全产品需要维护,不断更新和迭代以适应不断变化的网络安全环境。技术的发展使得安全攻防随之升级,这个过程难免会发现漏洞。一般而言,厂商在知道了自己有漏洞的前提下,一定会第一时间组织力量修复漏洞,维护用户安全。试想下如果在没有通知 CNVD 和厂商的角度下,私自暴露漏洞,黑客可能会第一时间利用漏洞进行对用户的攻击,给用户和整个社会直接带来损失。这个一定是我们不想看到的。 网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显出法律规定的灰色地带。同时,国内外不同主体基于不同动机和利益驱动,开展了广泛的网络安全漏洞披露实践,并已经引发各方对不利法律后果的反思。 Q1:最近关于漏洞披露问题讨论很多,关于漏洞相关的披露机制是怎样的? A1:一般情况下,当发现一个漏洞之后,可以先上报国家信息安全漏洞共享平台 CNVD(China National Vulnerability Database,),CNVD 通知厂商需要在 90/10 天内修复,厂商采取漏洞修补或防范措施后再予以公开,这样能最大程度的保护用户的安全,同时促进整个行业有序发展。如果发现漏洞而没有上报 CNVD,而是直接披露,这是有一定风险和隐患的。 Q2:漏洞披露有哪几种类型,原则是什么? A2:常见的披露类型主要有不披露、完全披露、负责任的披露和协同披露四种。 漏洞被发现后,就进入了漏洞披露阶段。漏洞发现者有可能不披露漏洞,对安全漏洞的相关信息完全保密,既不报送给厂商,又不向公众公开这就是不披露。与此相反,漏洞发现者也可能公开完全披露相关的漏洞信息,未事先对厂商进行告警,厂商没有充分的时间修复漏洞,漏洞信息也直接暴露给了潜在的恶意攻击者,这就是完全披露,也被称作不负责任的披露。 Q3:漏洞披露违规存在什么样的风险? A3:首先是用户安全风险。 违规披露漏洞,会导致漏洞传播。许多知名的开放社区都是零门槛的,很多黑客也埋伏在其中,这就导致了漏洞被公开后的一段时间内容黑客活动激增。在厂商发布漏洞补丁和用户更新之前,这样的安全风险是难以把控的。一个著名的例子就是 Mirai 僵尸网络,该僵尸网络在 2016 年攻击了美国的物联网设备,使美国多个城市的互联网瘫痪。实际上最初,它是用于对 Telnet 的嵌入式监听设备进行暴力攻击。后来,Mirai 源代码被发布到开源社区,产生了模仿版本,用于对通过 SecureShell(SSH) 的监听硬件进行暴力攻击。直到今年,Mirai 变体仍然对嵌入式 Linux 系统构成持续不断的威胁。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号