圖片來源:CISA,https://twitter.com/CISAgov/status/1301628546809552896/photo/1

美國國土安全部旗下的網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA),在本周三(9/2)頒布了強制命令( Binding Operational Directive,BOD)20-01,要求所有使用.gov的聯邦機構都必須在180天內公布漏洞揭露政策(Vulnerability Disclosure Policy,VDP),也應建立安全聯繫窗口,以方便安全研究人員提交系統漏洞。

CISA網路安全助理局長Bryan Ware表示,當大眾有能力作出貢獻時,才能讓資安更強大,其中的關鍵因素就是建立一個正式的政策,以協助大眾如何合法地發現及舉報漏洞。VDP將能鼓勵聯邦機構與外界建立合作關係,讓大眾更清楚地知道該如何舉報漏洞、哪些系統可以合法進行測試,也能期待之後的交流。

CISA指出,聯邦機構應該要了解,任何掌握漏洞資訊的人,就算沒有事先通知相關機構,隨時都能將漏洞資訊公諸於世,這樣未經協調的揭露可能在聯邦機構尚未修補前就帶來災難,而且該名人士也可能必須承擔法律後果,VDP的主要優點之一就是減輕聯邦基礎設施與大眾的風險,以讓聯邦機構能夠在漏洞公開前及時修補。

該命令著眼於要求美國聯邦網站建立一個漏洞提報及回應系統,包括要求每一個擁有對外網站的聯邦機構要在30個工作天內提供資安窗口,並於180天發布漏洞揭露政策,涵蓋漏洞揭露範圍、允許的測試型態、漏洞提報管道、能否匿名舉報、承諾不對舉報者採法律行動、設定回應時間,也應考慮明確說明相關的舉報並無獎金。

CISA亦說明,VDP類似抓漏獎勵專案,但並無獎勵,財政上的補貼可能會吸引人們協助尋找漏洞,但同時也可能讓低品質的舉報數量大增,儘管抓漏獎勵專案能夠強化安全,但此一命令並未要求聯邦機構提供抓漏獎金。

CISA將2020年定義為漏洞管理年,除了BOD 20-01之外,今年4月底亦曾頒布BOD 19-02,要求美國的各個聯邦機構須在發現重大(Critical)風險漏洞的15天內修補該漏洞,而高度(High)風險漏洞的修補期限則是30天。


Advertisement

更多 iThome相關內容