在安全研究員、執(zhí)法機構(gòu)或業(yè)務(wù)合作伙伴等外部機構(gòu)提醒系統(tǒng)存在被入侵或被破壞的危險之前，組織機構(gòu)，尤其是大企業(yè)通常都不會察覺到這些危險。隨著攻擊方法的不斷擴散，開源組件的使用日益增多，以及云服務(wù)的大量采用，許多企業(yè)面臨的攻擊面也在不斷地擴大。令人尷尬的是，企業(yè)自己的安全團隊已經(jīng)變得越來越難以發(fā)現(xiàn)這些漏洞。例如，入侵者已經(jīng)攻破了SolarWinds 公司的系統(tǒng)并通過該公司的軟件不斷傳播惡意軟件，但是SolarWinds 卻一直沒有察覺到，直到安全廠商FireEye 向SolarWinds 通報了相關(guān)漏洞，SolarWinds 才如夢初醒。

　　許多企業(yè)的漏洞在長達數(shù)月的時間里都沒能得到修復(fù)，根本原因在于企業(yè)的內(nèi)部安全團隊沒有發(fā)現(xiàn)它們， SolarWinds 案例只是其中的一個典型案例而已。因此，近年來，接收和響應(yīng)由外部機構(gòu)提供的安全情報（無論是漏洞通知還是新的重大威脅），對于企業(yè)來說正變得越來越重要。

　　負責(zé)為Coalfire 公司的高層提供網(wǎng)絡(luò)策略建議的 John Hellickson 說：“ 任何提供網(wǎng)絡(luò)產(chǎn)品或服務(wù)的企業(yè)都應(yīng)建立起一套接收和響應(yīng)機制，以便外部機構(gòu)能夠向其通報可能對其產(chǎn)品或服務(wù)產(chǎn)生影響的潛在問題。”

　　以下是企業(yè)有效建立起這種能力的六個技巧：

　　1. 制定詳細的漏洞報告制度

　　市場研究機構(gòu)IDC 負責(zé)安全研究的副總裁Pete Lindstrom 說，企業(yè)應(yīng)當(dāng)確保向所有有意向其報告安全或隱私問題的外部機構(gòu)明確告知企業(yè)的漏洞報告制度，闡明企業(yè)期望外部機構(gòu)以負責(zé)任的方式通報漏洞，并提供電子郵件地址、電話號碼等外部機構(gòu)可以向其通報安全或隱私問題的方式。

　　企業(yè)還應(yīng)對外闡明其處理、調(diào)查和解決這些報告或信息的方式，并讓第三方機構(gòu)了解企業(yè)審查和解決問題的速度或時間，以便讓他們知道自己提供的信息沒有被忽視。此外，企業(yè)還應(yīng)向第三方機構(gòu)闡明企業(yè)的政策，如果通報的情況屬實，企業(yè)將會給予獎勵。如果情況不屬實，那么企業(yè)也要明確地告知他們不會對其提供的情況給予獎勵。

　　Lindstrom 說：“ 管理好第三方的期望對企業(yè)的成功和聲譽至關(guān)重要。因此，當(dāng)?shù)谌较蚱髽I(yè)提供安全或隱私問題時，準(zhǔn)確地知道他們期望得到什么，對于企業(yè)來說很重要。”

　　標(biāo)準(zhǔn)普爾全球市場情報公司（S&P Global Market Intelligence）信息安全研究主管Scott Crawford 建議，企業(yè)應(yīng)該利用ISO/IEC 30111 標(biāo)準(zhǔn)中的指南來指導(dǎo)漏洞處理工作。Crawford 指出，在處理第三方漏洞報告時，這些標(biāo)準(zhǔn)可為如何制定處置規(guī)則提供指導(dǎo)。

　　2. 制定內(nèi)部漏洞管理計劃

　　Lindstrom 稱， 不管企業(yè)是否希望從外部獲得安全情報，都應(yīng)在內(nèi)部建立起應(yīng)用程序安全和漏洞管理程序。對于企業(yè)來說，部署最佳實踐（例如定期進行漏洞掃描，打上安全補丁等）非常重要，這樣可以有效降低風(fēng)險，先于外部機構(gòu)發(fā)現(xiàn)各種漏洞。他說：“企業(yè)應(yīng)積極地將部署最佳實踐作為自身安全計劃的一個重要組成部分。在考慮與外部研究人員合作之前，應(yīng)在內(nèi)部先形成合力。”

　　Hellickson 也指出：“對于企業(yè)來說，針對不同的示例場景進行測試也是一種不錯的做法，這樣可以發(fā)現(xiàn)一些問題，并讓執(zhí)行團隊和法律顧問參與其中。桌面演練也是安全意識教育一個重要手段。”

　　3. 在事件管理流程中建立外部安全通報響應(yīng)機制

　　確保企業(yè)的事件管理團隊制定有響應(yīng)（漏洞搜尋者、業(yè)務(wù)合作伙伴、執(zhí)法部門或客戶的）外部安全通報的機制。Hellickson 說：“企業(yè)事故處理團隊制定有響應(yīng)來自內(nèi)部安全工具、計算系統(tǒng)、網(wǎng)絡(luò)傳感器等警報的機制。和事故處理團隊一樣，企業(yè)也需要制定調(diào)查和響應(yīng)外部安全通報的機制。所有的事件處理和響應(yīng)機制都應(yīng)有一個明確的流程，以對情報來源進行優(yōu)先排序、審查和分類，直至問題被解決。”

　　Hellickson 認為， 這個機制還應(yīng)有一個內(nèi)置的升級程序，并提前明確團隊成員在此類事件中的角色和職責(zé)?？紤]到網(wǎng)絡(luò)攻擊種類繁多，企業(yè)應(yīng)制定清晰的事件處理和響應(yīng)計劃，對事件信息接收的每個環(huán)節(jié)進行詳細說明并對這些信息進行適當(dāng)分類。

　　Pathlock 的董事長 Kevin Dunne 指出， 如果需要對生產(chǎn)代碼中的漏洞進行響應(yīng)，那么事件管理團隊需要做好全力以赴的準(zhǔn)備。他說：“若不對這些漏洞加以解決，那么這些漏洞很快就會在黑市上被出售。如果補救不及時，那么這些漏洞就可能被不法分子利用。”

　　4. 做好從其他部門抽調(diào)人員的準(zhǔn)備

　　那些用于接收外部安全通報的郵箱和電話號碼必須由IT 或安全部門負責(zé)。這兩個部門要做好隨時調(diào)查和修補問題的準(zhǔn)備。制定一個在需要時可快速從企業(yè)其他部門抽調(diào)人手的計劃同樣非常重要。Lindstrom 指出， 這是因為在與外部安全研究人員或漏洞搜尋者合作時，誰都無法預(yù)測事件將會如何發(fā)展。

　　例如， 外部研究人員可能希望通過報告漏洞而獲得獎勵，但是企業(yè)沒有關(guān)于處理此類漏洞報告的明確規(guī)定。在這種情況下，安全團隊可能需要法務(wù)部門的人員與外部研究人員進行談判。 Lindstrom 說：“漏洞報告處理不當(dāng)可能會損害企業(yè)的聲譽和品牌。讓溝通團隊和營銷團隊的成員參與進來可能會起到意想不到的效果。在漏洞報告處理方面，存在著大量的變量。整個事情的處理實際上與溝通交流和聲譽有著密切地聯(lián)系。”

　　5. 制定漏洞托管協(xié)作/ 漏洞獎勵計劃

　　大型企業(yè)和具有重要公眾形象的機構(gòu)應(yīng)考慮與 HackerOne 和BugCrowd 等漏洞披露機構(gòu)簽約。此類計劃為外部各方提供了一種機制。在這種機制下，外部能夠以負責(zé)任的方式向企業(yè)通報他們發(fā)現(xiàn)的漏洞或隱私泄露問題。

　　標(biāo)準(zhǔn)普爾全球情報公司的Crawford 指出，企業(yè)可以通過漏洞通報計劃將整個漏洞發(fā)現(xiàn)工作外包出去。雖然有了這些計劃，但是企業(yè)仍然需要有良好的內(nèi)部事件響應(yīng)能力，因為它們可以在初始階段幫助企業(yè)接收和響應(yīng)由外部漏洞研究人員提供的信息并與之溝通交流。此外， Crawford 還指出，這些項目可讓第三方研究人員和漏洞搜尋者有計劃的尋找企業(yè)應(yīng)用程序和服務(wù)中的漏洞，從而最大限度地降低企業(yè)面臨的風(fēng)險。

Dunne 說：“ 如今， 許多企業(yè)都對外公布了自己的漏洞賞金或漏洞發(fā)現(xiàn)計劃，以向獨立的第三方研究人員征集漏洞信息。”通常情況下，如果企業(yè)擁有一個或多個面向消費者的服務(wù)，那么這些企業(yè)往往比較容易征集到漏洞信息。像酒店業(yè)、零售業(yè)、旅游業(yè)和消費金融業(yè)等行業(yè)通常都會制定極具吸引力的漏洞賞金項目。

　　與此同時，Dunne 還指出：“如果企業(yè)常常會收到第三方研究人員主動提供的漏洞信息，但是卻還沒有建立起相應(yīng)的確認機制，那么他們現(xiàn)在應(yīng)當(dāng)考慮建立起來這種機制。”即使企業(yè)不會為已識別出的漏洞提供獎勵，他們也最好制定一個計劃，以響應(yīng)并確認通報的漏洞信息，并將補救計劃及時告知研究人員和客戶。他說：“如果漏洞信息已經(jīng)被通報，但是企業(yè)卻無動于衷，那么這對企業(yè)是極為不利的。不對通報的漏洞信息進行確認，那么就相當(dāng)于承認企業(yè)沒有認真對待安全問題，也不重視客戶的數(shù)據(jù)。”

　　6. 征集威脅情報時需明確一些問題

　　Dunne 指出，與獨立的研究人員和漏洞搜尋者合作以獲取漏洞信息和威脅情報的企業(yè)應(yīng)當(dāng)認真考慮幾個關(guān)鍵問題。例如，企業(yè)需要決定是讓所有的人都知道企業(yè)的漏洞發(fā)現(xiàn)項目，還是只向特定的研究人員公開。企業(yè)必須確定自己對哪些類型的安全問題或隱私問題最為感興趣。企業(yè)需要提前制定計劃以對報告的安全問題展開測試。此外，企業(yè)還要確定是在生產(chǎn)環(huán)境中展開測試，還是在獨立的模擬生產(chǎn)環(huán)境中進行測試。

　　此外，企業(yè)還必須要提前明確是否愿意為漏洞信息報告者提供獎勵，以及獎勵金額是固定的還是根據(jù)問題的嚴重程度進行調(diào)整。即，這些獎金是不是高于這些漏洞在黑市上的售價。

　　本文作者Jaikumar Vijayan 為一名專注于技術(shù)的自由撰稿人，專門研究關(guān)于計算機安全和隱私等課題。

　　原文網(wǎng)址 https://www.csoonline. c o m / a r t i c l e / 3 6 1 4 5 8 8 / 6 - t i p s - f o r - r e c e i v i n g - a n d - r e s p o n d i n g - t o - t h i r d - party-security-disclosures. html

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……