更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全5月27日訊 白宮網路安全協調員羅伯·喬伊絲本周在波士頓舉辦的科技領袖會議上表示, 特朗普政府已經在關注一項政策程式改革提議, 即決定如何處理新發現的軟體零日漏洞。
該政策程式被稱為“漏洞公平裁決程式”(Vulnerability Equities Process, VEP), 規定了政府官員判斷是否將漏洞披露給軟體製造商的具體方法, 以提醒製造商打補丁, 確保所有使用者安全, 或秘密存儲並用來監視美國對手。
前政府官員表示, 這一程式需要“大動刀”, 國會議員于當地時間上週三提出《保護能力, 打擊駭客法案》(PATCH Act)法案。
PATCH Act法案將解決哪些問題?
PATCH Act在增加VEP監督框架的透明度, 並解決當前框架中的棘手問題, 包括誰負責多機構審查委員會, 負責制定決策以及何時披露漏洞等問題。
此外, 該法案還還提供決策制定標準, 並描述審查委員會(包括商務部長和國家情報總監)需權衡的考慮。
漏洞公平裁決程式的利弊
喬伊絲稱, 特朗普政府官員正在與法案的支持者接洽, 草案需要進一步修訂。 政府官員目前正在與國會合作研究PATCH Act。 但令他擔心的是, 立法者在討論為非中立實體授權的問題。
喬伊絲認為, 目前的程式帶來平衡效果, 該程式已經“傾向於”披露。 VEP監督框架如今支持“防禦”......因其瞭解漏洞的重要性, 哪些行業在使用, 以及即使沒有補丁的情況下, 是否具有緩解措施?
但政府官員在確定何時需要保留漏洞的問題上, 正在做“模糊”決策, 因為美國政府需要漏洞提供的網路間諜能力。
目前, VEP由非情報機構官員組成的白宮委員會牽頭。 自2014年4月以來, 所有新的、非公開已知漏洞都提交到了直通白宮的這個程式中。
對手國家或因此受益
前官員將披露更多零日漏洞稱之為“單方面裁軍”, 因為美國的對手將不會“鸚鵡學舌”。
喬伊絲還表示, 值得注意的是, 對手的情報機構, 例如朝鮮、俄羅斯和伊朗並不具有VEP這類程式, 這更容易讓美國受到傷害。 權衡折中並非易事, 因此, 美國政府制定規則指導機構制定決策。
這些規則可能追溯到過去十年的布希政府時期。
隨著網路上洩露一系列強大的NSA駭客工具(利用Windows軟體零日漏洞), 這些規則就受到新審查。 儘管有VEP的相關規定, 但NSA卻秘密囤積了漏洞, 而目前正被網路犯罪分子和駭客大肆利用。
相關閱讀:勒索軟體不能避免:微軟叫板美國安局NSA, 反對囤積漏洞, 長按識別下方二維碼查看詳情。
27
E安全要聞簡訊
2017年5月
01
研究人員發現安卓設備全新惡意軟體"斗篷與匕首"
02
[視頻]用掃描器控制惡意程式從隔離的網路中獲取資料
03
威脅情報公司:勒索軟體WannaCry幕後開發者或來自中文國家
04
FBI非法向協力廠商分享了其收集到的美國人資料
05
網路安全受量子計算影響還遠嗎?未來將面臨這些威脅
06
美國會議員提出“漏洞披露法案” 仍考慮非中立實體授權
07
馬民虎:《網路安全法》的意義