iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 3
0
Security

資安補漏洞,越補越大洞系列 第 3

[Day 3] 國際有哪些漏洞協處單位?

昨天介紹了國內兩個可以協助處理漏洞的組織,今天就來介紹幾個國外的,首先就是鼎鼎大名的MITRE。

講到MITRE大家可能沒聽過,但講到CVE大家一定有聽過了吧(沒聽過也沒關係之後也會介紹),沒錯!MITRE就是維運CVE計畫背後的組織。MITRE是一個FFRDC[註],與美國政府的合作密切,也協助其官方進行多項資安相關研究,並透過與公私部門間合作,來克服影響國家安全的資安挑戰。其實不只CVE,最近逐漸崛起的ATT&CK架構也是他們的研究計畫之一。

MITRE除維運CVE計畫,本身也是能夠發布CVE編號的CNA,所以如果發現了漏洞的話可以透過網頁表格或是Email等方式通報給他們,這時請大家回想一下,是不是還記得我們在Day1的時候有提到,CVE對於漏洞的定義是一存在於軟硬體元件運算邏輯(例如程式碼)中的弱點,當弱點被利用時,會導致資料的機密性、完整性或可用性產生負面影響,且還要通過8個判斷標準才能被認定是一個漏洞,因此,當一個漏洞被通報到MITRE時,並不一定會被處理,而且MITRE的主要目標是發布CVE編號給該漏洞,所以也不保證會督促廠商把漏洞進行修補。

https://ithelp.ithome.com.tw/upload/images/20181018/201073041YUUViqfei.png

通報漏洞給MITRE:https://cve.mitre.org/cve/request_id.html

這時我們發現跟國內通報一樣的問題,那就是如果漏洞不符合MITRE的標準而不被處理時應該要怎麼辦呢?最快的方法其實就是去找各國的CERT協助處理,例如如果發現某個美國網站有漏洞,就可以直接找美國的CERT,也就是US-CERT來協助處理。

如果沒有特別想要幫漏洞拿到CVE編號,也覺得自己直接跟廠商溝通漏洞沒差的話,也可以選擇直接通報給廠商,通常夠大的國際廠商都會直接在官網上註明漏洞通報的方式。

有些人可能會覺得奇怪,既然直接通報給廠商就好,為什麼還要花兩天的文章來介紹這些可以通報漏洞的管道呢?其實這是有原因的。首先,對於通報者來說,有些人不想洩漏自己的身分,而且以個人身分聯繫廠商可能比較不會受到重視;接著,對於通報廠商來說,並不是所有的廠商都樂於見到自己的產品被挖掘出漏洞,甚至有些廠商會抱持著比較負面的想法,認為通報者是在故意搞破壞,更甚者可能會想告上法庭,在這種狀況下,透過一個具有公信力的中間人來替雙方協調,比較可以避免上述的問題產生。再者,並不是所有的廠商都具有資安觀念,可能會需要有人協助告知一些基礎資安知識,或是協助找到可以協處的資安廠商等,各國的CERT也是可以擔任協助此項任務的腳色之一。

[註]
美國聯邦政府資助研究與發展中心(Federally Funded Research and Development Center, FFRDC)指的是由美國政府出資建立的研究中心,這種研究中心並非政府單位,但必須嚴守美國法律,包含非營利、沒有商業利益衝突、非製造商、不能販賣商品、不能替商業公司工作、不能與產業競爭等數項條件。利用這些方式,政府可以放心把一些較機敏的研究工作交給FFRDC執行或研發,且不用擔心資訊外洩,同時也可以確保研發工作會由有能力的研究單位來進行。

參考資料:
[1] https://www.mitre.org/centers/we-operate-ffrdcs
[2] https://cve.mitre.org/


上一篇
[Day 2] 國內有哪些漏洞協處單位?
下一篇
[Day 4] 國際漏洞編號標準有哪些?
系列文
資安補漏洞,越補越大洞30

尚未有邦友留言

立即登入留言