美国司法部是如何打造漏洞披露计划框架的?

美国司法部(DOJ)刑事部门网络安全分部日前打造了“在线系统漏洞披露计划框架”,旨在帮助组织机构开发正式的漏洞披露计划。

实际上,现在越来越多的企业机构都已经意识到,漏洞奖励计划有助于更高效地发现网络和应用中的漏洞。很多大型私有企业这些年一直在实施漏洞奖励计划。FreeBuf 先前曾经采访过 HackerOne 的 COO 王宁,她在采访中提到漏洞奖励计划对于安全而言的高性价比,因为这是一种按劳支付的方式。

国内如腾讯、百度、新浪、网易等大型厂商都成立了安全应急响应中心,还有一些厂商专门运营白帽子众测平台,为厂商和白帽子搭建桥梁,为国家安全做出贡献。国家应急响应中心和国家信息安全漏洞库,也都是国家在信息安全和漏洞披露方面所提供的支持。

同样,美国政府也针对漏洞披露采取了一些重要措施。

美国政府的漏洞披露举措

美国国防部通过安全漏洞披露平台“HackerOne”运营三大漏洞奖励项目:“入侵五角大楼(Hack the Pentagon)”,“入侵陆军(Hack the Army)”和“入侵空军(Hack the Air Force)”。此外,美国总务署(GSA)在五月宣布成立漏洞奖励计划,随后参议员提出了新的议案,计划在国土安全部内部建立漏洞奖励试点计划。

而此次美国司法部计划打造的框架对于公共和私有组织机构都能提供有效帮助,这次的框架没有局限于项目形式或目标,而是重在描述有授权的漏洞发现和披露行为,减少挖洞过程中违反CFAA(《计算机欺诈与滥用法案》)的情况发生。

按框架行动,打造漏洞提交四部曲

第一步是设计项目:确认项目中使用的网络组件和数据、确定需要使用或排除的漏洞类型和安全实践;另外还要指明第三方组件或数据是否应当包含在项目中,以及是否需要获得额外授权;司法部还建议组织机构在设计阶段参考 18F (数字服务机构)的漏洞披露计划、国家电信与信息管理局(NTIA)的漏洞披露做法,以及国际标准组织(ISO)的相关指南。

第二步则涉及项目管理:确定漏洞上报方式、分配好接收漏洞报告的入口、指明解答项目相关问题的人员,以及确定如何处理意外事件和故意违反漏洞政策的行为;

第三步则起草策略:明确描述企业组织针对某些问题的态度:包括授权或未授权的行为、数据访问限制、不遵守策略的后果、项目覆盖的系统和数据等。同时还鼓励研究人员联系组织机构反馈项目未解决的问题,并指明在披露流程中还需要与美国计算机应急响应小组US-CERT、美国工控系统网络应急响应小组ISC-CERT等机构协作;

第四步实施项目:该框架提出应当让企业漏洞的披露策略易于获取,并鼓励找漏洞的用户通过其项目披露系统中的任何漏洞。

FreeBuf 随后会有关于这个框架的详细解读,敬请期待。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏网络

Orchid兰花协议:分布式匿名代理网络

兰花协议是一个去中心化的,来自互联网的开源技术。兰花协议致力于结束对互联网的审查和监督。该协议使用已经存在于现有交换设备上的上层网络,创建一个具有包容性和自由性...

3769
来自专栏云鼎实验室的专栏

云鼎安全视点:基于腾讯云的安全趋势洞察

随着越来越多的企业逐步把自身IT基础设施服务迁移到云上,云上的安全风险趋势到底如何?近期重大勒索事件频频发生,企业该如何去有效提升自身的安全防护能力?

2320
来自专栏CIT极客

极客周刊丨多平台资料禁改,全球黑客约战上海,盗窃域名将被判刑...

4159
来自专栏区块链

让你的家人看看这个,少受一些网络金融骗局之害!

近几年,一些金融骗局便走进了公众视线,大多数以投资某项目、购买某物品、购买某虚拟货币或是“献爱心”、“开网店”、“ICO”等等方式让参与者先投入资金,再以所谓分...

20210
来自专栏我是攻城师

360为什么要花亿元巨资买一个域名?

4675
来自专栏FreeBuf

由大型物联网僵尸网络驱动的DDoS攻击

基于物联网设备的僵尸网络 随着信息安全技术的不断发展,物联网僵尸网络现在也成为了信息安全领域内最为危险的安全威胁之一。近期,我们检测到了两起由这些物联网基础设施...

2299
来自专栏PPV课数据科学社区

【每日一课】第14课:Excel2010数据透视表简介-一个示例数据透视表的本质用途

课程名称 Excel 2007/2010表格基础入门和常用函数视频教程(共40课) 第14课:Excel2010数据透视表简介-一个示例数据透视表的本质用途 ...

2975
来自专栏人工智能快报

研究发现无人机可被用于攻击物联网

以色列魏茨曼科学研究所与加拿大达尔豪斯大学的研究人员指出,ZigBee与Z-Wave无线通信协议对物联网设备尤其是智能灯存在巨大安全隐患。研究人员给无人机配置了...

3487
来自专栏云资讯小编的专栏

腾讯云鼎实验室Killer:面对“想哭”勒索软件,你不知道的几件事儿

比特币勒索软件究竟为什么会在全球大规模爆发?给我们敲响了什么警钟?国内信息安全专业媒体《嘶吼》对腾讯云鼎实验室负责人Killer(董志强)进行了专访,一起来听听...

8070
来自专栏PPV课数据科学社区

【读图】为什么女人对“买买买”更把持不住?

有人说:“娶对了败家娘们,天天都过双11!”辣么,为啥妹纸们对购物更把持不住?难道可爱的男孩纸就不爱买东西了?实际上不仅是中国,在全球商家眼中最乐于见到的也是女...

2773

扫码关注云+社区

领取腾讯云代金券