網際安全弱點揭露原則

2017 / 09 / 18

邱述琛、吳雅倩

隨著科技的進步，基本上所有的日常生活，大多都與資訊科技結合，這也讓網際安全弱點的管理顯得更為重要。網際安全弱點至少包括：作業系統、應用程式、通訊設備等。2017年9月上旬傳出的重大網際安全事件中，則有多起事件是與弱點揭露有著直接相關（如表1），其中包括：除了汽車產業外也被廣泛應用在關鍵製造商、健康照護產業與交通系統的控制器區域網路（CAN）協定漏洞；D-Link無線路由器產品的漏洞；Equifax因未即時修補Apache Struts漏洞導致洩漏大量個資；及Smith Medical的無線輸液幫浦網際安全風險等。綜合上述案例可發現，網際安全弱點除了可能導致使用者生命直接威脅外，業者若不能謹慎管理與漏洞通報者間的關係，可能將弱點揭露導引到負面循環，讓業者、使用者都陷於更大的風險當中，故網際安全弱點的管理已經是必須正式且要立即處理的重要議題。

表1：2017年9月與網際安全漏洞揭露相關事件（資料來源：KPMG整理）

網際安全弱點揭露現況與願景
因日益嚴重的網際安全問題可能導致敏感資料外洩、偽造及服務中斷等問題，越來越多的公務部門和私人組織正嘗試採用弱點揭露計劃（Vulnerability Disclosure Program），以提高檢測網路安全問題的能力，但若以非正式方法來徵求弱點報告，而未建立結構化的弱點揭露計劃，將無法確保此項重要工作之執行狀況。今年7月，美國司法部轄下的電腦犯罪與智慧財權保護部門（The Computer Crime and Intellectual Property Section）即公布一份「線上系統弱點揭露計劃框架（A Framework for a Vulnerability Disclosure Program for Online Systems）」。此份文件是一份參考性文件，提供了弱點揭露政策的考慮因素，但因不同的組織可能會對弱點揭露計劃有不同的目標和優先順序，故並不硬性規定弱點揭露計劃的形式或目標，將重點放在弱點揭露計劃的程序（如圖1），清楚地描述弱點揭露和發現行為，來降低相關行為可能在美國「電腦詐欺和濫用行為法」下的可能導致民事責任或違法性。