建立網際安全弱點通報的正向回饋機制

2017 / 09 / 22

邱述琛、吳雅倩

因為網際安全漏洞揭露一直沒有正式的規範，而發生了許多值得深思的案例。例如：2016年，安全研究公司MedSec在未通知可以修補漏洞的業者情況下，將漏洞資訊先揭露給投資公司，再公布業者製造的心律調整器與其他醫療設備弱點可能導致遭駭，同時也引發出，注資投資公司壓注該公司股票下跌。此具有高度爭議性揭露弱點方式引發資安社群的高度關注本案，因為這可能是首件利用網際安全弱點套利的案例，除引發道德爭議外，也可能讓資安弱點揭露的議題更加複雜；另2017年德國資安研究公司ESNC因為揭露了某單位以SAP開發的自動控制評估工具存在漏洞，儘管ESNC當時已通報該單位，並按業界揭露漏洞常態於三個月後公佈漏洞，但仍收到律師信要求不得公開；最近的案例則有2017年9月南韓研究人員因之前提供的漏洞訊息未獲得業者感謝，且發現業者私下發布部分漏洞之修補程式而感到未獲得尊重，故這一次選擇在未聯絡業者情況下完全揭露之情況，更是將廣大的使用者陷入險境。上述三個案例雖然不同，但都將網際安全弱點揭露導引到負面循環。

但網際安全社群對弱點揭露仍有相當努力的成果，例如美國創新中心18F的數位科技轉型服務（TTS）即在2016年詳細說明了安全研究人員應該回報其發現各類政府系統的弱點，公告新的政策，鼓勵研究人員回報弱點，而不必擔心遭到控告，以利盡快進行修補。其中也明確說明該指引不適用於所有的駭客行為，僅適用在一些政府網域，如：vote.gov, analytics.usa.gov, calc.gsa.gov, micropurchase.18f.gov and 18f.gsa.gov。18F官員表示，本計畫規劃涵蓋所有由政府營運的系統，也限制使用確認弱點、資料機密性及破壞隱私外的探勘工具；使用者操作介面錯誤、阻斷式攻擊及非技術性弱點測試（如：實體測試、社交工程）則不在法律保護範圍。而近期擔任美國各地CERT協調中心的卡內基美隆大學為減低各項科技產品之網際安全弱點可能對社會造成的傷害，公布了一份「CERT弱點接路協調指引」，指引中提出了弱點通報的流程，包括：發現、通報、驗證與分類、修復、保重公眾權益及部署等階段，期望能夠達到減少傷害、提供激勵及不斷改進的目標。而這些努力都是期望將網際安全弱點揭露導引到正面循環，由通報者、業者、CERT共同推動更安全的使用環境。

網際安全通報流程示意圖（資料來源：CMU CERT/CC）

建立網際安全弱點通報原則刻不容緩
綜合國際案例顯示，網際安全弱點其實是網際安全事故的領先指標，與漏洞修補息息相關，是一個整體的作業流程，流程中的參與者，至少包括：通報者、業者（開發商、經銷商等）及使用者，目前因為並沒有明確的管理規則、通報平台及處理機制，導致弱點揭露有時候會向完全不公開或一發現立即公開（Zero-Day）這兩個極端發展。其實對於網際安全弱點管理是相當不利的。
國內資安團體HICON在多項會議中大聲疾呼，應建立網際安全漏洞通報平台，且國內預計要在年底前成立各機關ISAC後，把所有情資整合傳送到國家層級N-ISAC跟國際資安資訊分享。

KPMG預測網際安弱點管理是提供信賴服務的關鍵基礎設施業者，必須納為先期考量的重點項目之一，提出以下幾點建議提供參考：
1. 建立公信力的網際安全弱點揭露平台，提供合理作業通報者的合法保護，如有可能，可提供提報者適當的激勵方式。
2. 建立第三方公正機制，對揭露之網際安全弱點進行初步分析與安全防護建議，並要求業者提出必要之衝擊分析並進行修補。
3. 考慮公眾利益，重大網際安全弱點應於適當時機進行揭露，以確保整體事件處理之透明度。
4. 研議將網際安全弱點修補機制納於未來產品上市銷售前必要安全檢查項目之可行性。

未來服務多數將藉由身分識別、存取控制等管控機制，透過通訊、程式取得服務與資訊，這也使得網際安全弱點管理更加複雜，如果能建立管理機制事先防範，將可減少後面的網際安全事故通報與處理所耗費的大量資源，收事半功倍之效。

上一篇：網際安全弱點揭露原則

本文作者目前任職於KPMG數位科技安全（Cybersecurity）服務部協理與研究員

安侯 KPMG 網際安全漏洞