隨著資安研究人員通報、揭露漏洞的消息不斷,設備或元件製造商為了展現對產品安全的重視,不只設立產品資安事件應變小組(PSIRT)統籌因應,近兩年來,加入MITRE CNA計畫、成為其合作夥伴,也成為不少企業看重的面向。
基本上,資安界普遍熟知的CVE漏洞編號,是美國MITRE通用漏洞揭露計畫所提出的制度,在此當中,各CVE編號其實是由漏洞編號授權單位指派,也就是CVE numbering authority(CNA)計畫的成員,特別的是,在10月18日,CNA協調工作小組主席Tod Beardsley宣布,新推出CNA指導計畫,希望透過成員彼此互助,帶動更多業者加入。
根據MITRE CNA成員列表所示,包含國家級的CERT組織在內,目前(至11月25日止)全球已有35國、259家機構組織及企業,參與這項計畫。而隨著今年10月這項指導計畫的推出,也意味著將有更多類型廠商、業者,能夠更容易提出加入成員的申請。
而在臺灣,這兩年內有更多業者響應此計畫。不只網通設備大廠兆勤科技(Zyxel),後續又出現兩家業者,一家是IC設計大廠聯發科(MediaTek),另一家是資安業者如梭世代(ZUSO Generation),還有NAS業者華芸再次重新申請加入。
可更快掌握產品資安問題,不只NAS業者,其他廠商也看重
以臺灣業者加入MITRE CNA合作夥伴的狀況來看,早年,主要是NAS業者積極參與,例如,在2017年,群暉、威聯通、華芸申請加入為CNA合作夥伴,可指派自家產品的CVE漏洞編號。到了2018年,台灣電腦網路危機處理暨協調中心TWCERT/CC亦申請加入,目的是為了推動臺灣業者產品的安全,重視漏洞修補,並提供通報上的協助,而其權限涵蓋範圍較大,可負責所有臺灣資通訊產品的CVE漏洞審核,除非被通報的臺灣產品業者本身就是MITRE CNA合作夥伴。
至於聞名全球的臺灣資安業者,如趨勢科技及旗下漏洞通報平臺ZDI,其實亦早已成為MITRE CNA合作夥伴,但兩者在所屬國家被歸類於日本,應是趨勢科技為日本上市公司的緣故。
在2020年底時,臺灣僅有3家組織與企業,但這兩年又開始有更多業者申請參加,現在已有7家成為MITRE CNA合作夥伴。例如,去年我們報導兆勤科技(Zyxel)加入MITRE CNA計畫,他們不僅是國內上市櫃公司加入的首例,該公司當時亦表示,他們觀察到更多國際大廠加入的趨勢。
在此之後是IC晶片設計大廠聯發科,他們於2021年10月時發布加入的消息、成為CVE編號管理者。根據該公司公開揭露的資訊,聯發科針對旗下各產品線均已設立專屬PSIRT團隊,加入MITRE CNA計畫的主要目的,是希望更迅速掌控安全性問題,更即時完成漏洞修補。
他們還有哪些強化產品安全的作為?去年底該公司已聚焦產品安全開發流程,導入BSIMM評測機制,保護晶片設計相關軟體開發過程,同時也發布了漏洞獎勵計畫,借助外部研究人員找出未知漏洞問題。
顯然,聯發科已展現積極正面看待安全事件處理的態度,並提及收到外部安全事件通報時,要落實五大步驟,包括:事件確認、修補、更新、公告與致謝。
進一步檢視該公司官方網站,也可以看出成效。例如,在產品安全致謝頁面,或是產品安全公告頁面上,從去年1月至今,每月都有十幾到二十多個漏洞的修補,定期以公開透明方式揭露,而去年其CVE漏洞的指派CNA單位,主要為Android(associated with Google Inc. or Open Handset Alliance),到了2022年,我們可以發現,新指派的漏洞,已經是由聯發科自己審核發布。
另一家加入MITRE CNA的業者,是資安公司如梭世代,今年5月時發布加入。較特別的是,不同於國家級CERT或廠商類型的CNA,該公司申請的是弱點研究小組(Vulnerability Researchers)的CNA,當發現各廠商產品或服務漏洞時,他們將可與廠商溝通弱點技術,並指派CVE編號。目前,全球有53個組織屬於研究小組的角色,如梭世代是臺灣首家申請的業者。
過去該公司曾挖掘出35個CVE漏洞並通報,當中多數為國內業者的產品漏洞,我們從TWCERT/CC所建置的TVN漏洞公告平臺,即可看到有些漏洞的通報者是如梭世代,而CVE編號是由TWCERT/CC來指派。
如今,在今年5月後,如梭世代加入CNA計畫成員,這意味著,本身具備指派CVE ID的能力。該公司表示,現階段已有挖掘出的新漏洞,只是仍處於不便公開階段,將會依循標準漏洞政策程序揭露,日後才會公開。
至於華芸,我們在去年注意到該公司竟不在CNA成員名單之列。對此,該公司表示,他們在2017年就已加入,但因為在隔年沒注意到相關規範,而未定期更新與參與工作小組活動,而被MITRE取消資格。但隨著2021年NAS資安問題一再被突顯,促使該公司決定再次申請,並於9月底重新獲得資格,隔月正式對外宣布。
無論如何,臺灣有更多廠商能夠取得MITRE CNA的成員資格,別具意義,而我們也觀察到,在最近一個多月,全球成員增加達17個,以整體成員共259家來計算,數量增長幅度算是顯著。而隨著MITRE CNA指導計畫的發布,對於想加入的組織或業者而言,將是更為友善,因為他們設置一專門的Google表單供申請者填寫,對於既有CNA成員而言,可以申請成為指導者,提供CVE漏洞撰寫的經驗協助,對於想要加入的新成員而言,可望更容易聯繫到CNA協調工作小組,請求指導者能提供這方面的協助。
截至2022年11月29日止,成為MITRE通用漏洞揭露計畫的CVE Numbering Authority(CNA)合作夥伴,全球共35國、259家機構與企業參與,其中,臺灣組織企業有7家,包括:群暉科技(Synology)、威聯通(QNAP)、台灣電腦網路危機暨協調中心(TWCERT/CC)、兆勤科技(Zyxel)、聯發科(MediaTek)、華芸(Asustor)與如梭世代(ZUSO Generation)。
近期CNA協調工作小組(CNACWG)主席Tod Beardsley宣布,將推出成員彼此互助的CNA指導計畫,這也意味,如今他們也期盼借助合作夥伴之力,來擴展更多的成員加入。
熱門新聞
2024-11-05
2024-11-05
2024-11-07
2024-11-04
2024-11-02
2024-11-02