網路搜尋業者Google有一個專門尋找各種零時差(Zero Day)漏洞的計畫小組Google Project Zero,許多人也都暱稱抓蟲大隊,主要抓的就是各種軟硬體產品中,可能因為人為失誤或者各種配置失當種種原因,造成產品出現可以被駭客利用的漏洞,而這些漏洞如果在還沒有修補程式出現時就已經對外揭露,就是所謂的零時差漏洞,非常容易成為駭客攻擊和利用的缺口和漏洞。
在本周才剛發生Google Project Zero資安研究員Tavis Ormandy發現,資安公司趨勢科技提供的PC-cillin防毒產品中的密碼管理機制Password Manager的模組有問題,在臺灣時間1月6日清晨5點多寫信給趨勢科技後,在趨勢科技修補該程式幾天後,在臺灣時間1月12日就公布攻擊程式和漏洞報告。
從這個過程中,趨勢科技就是接受外界漏洞通報的企業。也或許這些資安公司原本就已經意識到,不可能有完美沒有缺失的產品,看趨勢科技和Tavis Ormandy互動的過程中,都是感謝資安研究員Tavis Ormandy願意提供找到的漏洞資訊,讓趨勢科技有機會作後續的產品漏洞修補。
只不過,這次讓人略有微詞的部份在於,Tavis Ormandy在漏洞資料提供給趨勢科技作後續修補,不到一週的時間,就釋出完整報告和攻擊程式。而Tavis Ormandy過往也曾經有類似的經驗,他在完成跟當事者的漏洞通報後,通常在幾天之內,只要當事者看起來已經開始修補漏洞,Tavis Ormandy覺得起來可能修補的差不多情況下,就會公布漏洞報告和攻擊程式。微軟先前也曾經抨擊,相關漏洞在使用者眾的前提下,應該要給業者更多時間,讓他們來得及讓更多使用者,及時完成漏洞修補。
但是,不論Tavis Ormandy的作法帶有多少爭議,可以確認的是,許多國外的廠商甚至是企業,對於漏洞通報這件事情,早已經習以為常,只要不是惡意的方式,當事者也都會以正面的態度,面對所有的漏洞通報。而這種正面面對漏洞通報的態度,都有助於業者降低資安風險。
臺灣企業面對漏洞通報態度灰色,有害企業資安防護程度
反觀臺灣企業,面對漏洞通報的態度卻大不相同,甚至,還會有被通報的當事者誤以為,只要花得起錢,甚至可以要漏洞通報的單位,隱匿受害的訊息。臺灣企業這樣的想法,反而讓臺灣漏洞通報處於一個無法被正面看待的灰色地帶。
從去年開始,有許多企業開始在中國的漏洞通報平臺:烏雲(WooYun.org)的臺灣地區分類中,看到許多產品、系統或網站的漏洞被公布,從去年10月開始,則有臺灣駭客年會(HITCON)轉型的臺灣駭客協會(HIT)的HITCON Zero Day漏洞通報,協助通報漏洞在烏雲上被揭露的臺灣企業。
曾經詢問過負責HITCON Zero Day漏洞通報平臺負責人,也是臺灣駭客協會常務理事翁浩正對於臺灣企業面對漏洞通報的看法。他認為,因為HITCON除了驗證來自烏雲的漏洞外,通報企業的漏洞的過程中,也會指導修補、協助複測,多數企業態度比較正面,但仍不乏少數企業,希望可以付錢給烏雲,希望烏雲可以把揭露企業漏洞的訊息下架。當然,這是涉及烏雲通報的制度,但從這裡卻也可以看出來,還是有很多企業在面對漏洞修補的態度,往往不願意正面面對、甚至希望可以隱匿訊息,看起來,的確相當負面。
臺灣常見漏洞通報平臺有3,要先面對漏洞,才能解決漏洞問題
要能夠先面對問題,才有辦法解決問題,所以,要協助企業解決資安問題,第一優先就是要先知道問題發生在哪裡,而漏洞通報就是一個告知企業風險發生在哪裡的程序。
臺灣目前提供漏洞通報的平臺,除了上述HITCON Zero Day通報平臺外,另外還有獨立的漏洞通報平臺VulReport,及由目前由中山科學研究院承接的TWCERT/CC(臺灣電腦網路危機處理暨協調中心)。
其中,HITCON Zero Day通報平臺接收到的漏洞通報訊息,包含企業和政府,若是企業通報部分,則會由該單位作為烏雲和企業之間的一個緩衝,由臺灣方面協助通報企業;政府部門,則由TWCERT/CC協助通報政府相關的漏洞。
畢竟,各個政府單位的漏洞通報若能透過CERT通報,比較可以按照政府的原本的流程處理通報和了解漏洞真實性,也可以節省通報平臺尋找各個政府單位資安窗口的時間。
以HITCON Zero Day通報平臺為例,一般性的漏洞通報,都會希望企業最晚可以在60天內完成修補,如果是嚴重的漏洞,則會縮短漏洞修補的時間,不然,漏洞危害則會更加劇。
企業面對漏洞的態度應該要學會把駭客當成自己的朋友
不論是哪一個漏洞通報平臺,基本上都是所謂的白帽駭客,希望透過正當的通報程序,協助受害企業改善資安漏洞。
面對漏洞通報最重要的是企業的心態,如果企業可以正面看待漏洞通報,學會把駭客當成自己的朋友,甚至有提供公開的漏洞通報窗口,都有助於企業縮短漏洞應變的時間,也可以減少溝通上的失誤。
當然,這個漏洞通報的層級絕對不可以太低,否則,在員工「多一事不如少一事」的心態下,就可能默默的把這樣的漏洞資訊搓掉了。因此,這樣的資安漏洞通報窗口至少要是主管層級才行,讓漏洞通報平臺以及外部資安人員找到相關的安全議題實,可以快速的找到正確的資安通報窗口,避免以往必須透過業務或者是客服窗口轉達漏洞資訊時,因為相關單位無法判斷嚴重性,造成訊息轉達時的失誤或效率差情況。
畢竟,企業可以直接修補漏洞,一定會比漏洞被駭客或其他黑色產業利用來的好;而企業同時,可以對於通報漏洞的平臺或資安人員給予適度的獎勵,像是烏雲則是以積分獎勵通報漏洞的資安研究員,也有部分單位會提供少數金錢獎勵,都是可以協助整個漏洞通報循環更為正面的方式。
所以說,企業面對漏洞通報時,只要可以做到下面4點,就可以讓整個漏洞通報走向正面循環。首先,了解漏洞的細節說明、帶來的影響;其次,告知通報者、通報單位此漏洞是否已經被內部確認,接下來會怎麼處理這個漏洞,預計什麼時候處理完畢;第三,處理完畢後告知通報者、通報平臺已經處理完畢,請通報平臺作為後續公布和處理;最後,企業可以選擇性給予通報者及通報平臺適度獎勵,讓整個漏洞通報更為正面。
文過飾非其實是人的天性,面對疏失時,我們多數會缺乏足夠面對錯誤的勇氣。但是,學會面對錯誤、擁抱錯誤,其實是一種自我提升的方式,企業面對未知的漏洞通報時,若也能抱持同樣正面面對的態度,一定有助於企業提高風險防護能力。