天创培训:您身边的信息安全培训专家!
开班计划
2018年8月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2018年8月21日-26日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
Web渗透测试(高级)开班通知
主讲老师   张老师、高老师等
开课时间   2018年8月16日-31日
培训方式   实地/面授
授课天次   16天
上课时间   09:00 -- 17:00
课程介绍 在线报名
Web渗透测试(中级)开班通知
主讲老师   张老师、王老师等
开课时间   2018年8月16日-22日
培训方式   实地/面授
授课天次   7天
上课时间   09:00 -- 17:00
课程介绍 在线报名
CISP-PTE渗透测试工程师开班
主讲老师   张老师、高老师等
开课时间   2018年8月23日-30日
培训方式   实地/面授
授课天次   8天
上课时间   09:00 -- 17:00
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

美国“0Day漏洞披露法案”已获得众议院通过

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2018-01-12  关键词:0Day漏洞

  美国众议院将于当地时间2018年1月9日讨论了一项法案,要求美国国土安全部(DHS)提交网络漏洞披露报告,描述网络漏洞披露的政策和程序,即美国政府如何决定是否利用新发现的计算机软件漏洞攻击美国对手或向制造商披露漏洞。

  这项名为“网络漏洞披露报告法案”于2017年9月通过美国国土委员会的投票表决,它将为特朗普政府计划发布的“漏洞公平裁决程序(Vulnerabilities Equities Process,VEP)”年度报告提供法律保障。

  目前这项法案已经获得通过,下一步将提交美国参议院审议。

  漏洞公平裁决程序——VEP

  VEP是一个复杂而重要的程序,它决定了美国政府是否通知数字技术公司,告知其产品或服务中存在网络安全漏洞,或选择不披露漏洞,以便用来在今后实施黑客入侵或达到情报收集的目的。VEP中包含漏洞囤积和披露漏洞支持方的意见,包括最可能支持囤积漏洞的情报机构,以及最可能支持披露漏洞的安全机构。

  民主党籍众议员希拉-杰克逊-李在特朗普VEP年度报告计划之前就已提出这项法案。美国政府官员表示,照例来讲,美国政府会披露约90%的软件漏洞。如果发现最易被犯罪分子发现并用来攻击美国消费者的漏洞,美国政府会选择披露。

  VEP存在的缺陷

  受保密协议等的限制:

  VEP指出,美国政府决定披露或限制漏洞信息可能受制于外国或私有部门合伙伙伴提出的限制条件,例如保密协议(Non-disclosure agreement,简称NDA)、理解备忘录或其它限制美国政府披露漏洞信息的限制条件。

  缺乏漏洞风险评级:

  软件漏洞通常会根据潜在危险性进行评级。例如,微软设置了4个风险等级:低危(Low)、中危(Moderate)、重要(Important)和严重(Critical)。然而,VEP政策中却未提及漏洞评级。这样一来,其它人将必须评估漏洞的严重程度,似乎造成了不必要的延迟。缺乏风险评级将难以评估VEP政策的实际效果:NSA可能会公开披露999个低危和中危漏洞,但却手握5个严重的漏洞而不披露。

  美国关于VEP程序的其他相关政策

  美国白宫于2017年11月发布一份章程,表示将为安全漏洞公平裁决程序(VEP)带来更理想的明确性与透明度。

  这份章程列出了美国政府在决定是否秘密保留零日漏洞这类特定安全漏洞相关信息时,所应考虑到的核心影响因素——包括利用其进行秘密间谍活动,或决定向相关软件开发商公开以确保软件得到补丁修复。该章程指出,要高度重视安全漏洞管理。涵盖政府方面从私营部门雇用黑客人士以解决零日漏洞的问题。

  考虑到了“外交公布”问题,其中主要涵盖国外产品中的安全漏洞,以及联合情报机构可能对美国政府所披露的安全漏洞信息的使用。该章程还涉及到网络安全领域的一场巨大争论,即重新发现——是指其他人发现并秘密保留此类漏洞的可能性。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000