风险加剧威胁环境中能力建设的关键作用

本文探讨了在日益复杂的网络威胁环境中,国际协作、漏洞披露和能力建设对提升网络安全防御的关键作用。文章分析了间谍软件威胁、漏洞发现趋势及当前威胁情报生态系统的挑战,并提出了改善协调披露和事件报告的建设性方案。

能力建设在风险加剧的威胁环境中至关重要

国际协作、报告和能力建设对于增强网络安全防御至关重要。在日益危险的环境中,有效治理需要可见性以及协调的漏洞披露。

背景:Pall Mall 进程与间谍软件威胁

Pall Mall 进程由英国和法国于2024年2月启动,旨在就商业网络入侵能力(CCIC)的扩散开展多利益相关方对话。这项工作延续了其他团体倡议,包括CyberTech协议和巴黎网络空间信任与安全呼吁。然而,间谍软件仍然是日益严重的关切,全球报告的事件不断增加。随着漏洞发现率的增长和披露报告的分裂化,政策制定者面临着将承诺转化为行动的必要性。

间谍软件市场的持续适应

Pall Mall 进程关注间谍软件是可以理解的,考虑到这些恶意软件对个人隐私、人权和国家安全造成的危害。尽管NSO集团的Pegasus恶意软件逐渐消亡,但仍被检测到在野外使用。其使用的后果仍在持续,美国地方法院发现其在针对WhatsApp服务器时违反了美国和加利福尼亚州法律。间谍软件市场仍在蓬勃发展,墨西哥和意大利最近都被指控监视本国公民。本质上,间谍软件通过利用目标用户的设备窃取敏感信息来获利。《纽约客》杂志估计2021年全球间谍软件贸易额约为120亿美元,此后间谍软件市场持续适应,没有放缓的迹象。

漏洞发现与利用的挑战

2024年超出了那些希望 vulnerabilities 和零日漏洞丰收的人的预期。虽然没有迹象表明人工智能正在提高发现和利用的速度,但技术正朝着这个方向发展。在开源软件方面,Google研究人员已经证明了LLM如何降低漏洞发现的壁垒。随着代理人工智能连接工具使用,如逆向工程和生成式模糊测试工具,人工智能将越来越能够将其应用于更复杂、更有趣的封闭软件。将这些打包成广泛可部署的漏洞利用仍然是进行中的研究,通常需要零日漏洞开发者无法获得的详细描述。寻找和关闭漏洞的竞赛长期以来一直是网络安全中持续的战斗之一,使紫队与交易间谍软件、漏洞利用和漏洞的灰市对立。

威胁情报生态系统的不足

虽然软件漏洞利用风险上升,但我们当前的威胁情报生态系统并未迎头赶上挑战。漏洞严重性和描述的主要权威是美国国家漏洞数据库(NVD),由NIST维护。NVD承认他们无法跟上漏洞发现的速度,分析积压是网络安全中一个已知且日益严重的问题。CISA维护已知被利用漏洞(KEV)列表,指示哪些漏洞(在NVD中记录)在野外被利用。当供应商独立评估其软件中的漏洞或通过自己的漏洞赏金计划在 obscurity 中评估,然后发布表明“一切良好”的补丁时,往往仍然存在漏洞。这个问题也适用于评估其新人工智能安全性的供应商,表明促进第三方缺陷披露的紧迫性。虽然供应商通过主动改进产品从这些第三方协调披露中受益,但市场对于道德漏洞研究和披露来说并不理想。目前,市场看起来像一个迭代的囚徒困境,每个国家都选择背叛,以保持自己对间谍软件、漏洞利用和漏洞的访问。

报告与分析的碎片化

也许为了填补这一空白,报告和分析正变得更加碎片化。上周,Wiz宣布了一个在线漏洞数据库,用于真正重要的云漏洞。当我们看新兴的人工智能软件时,已经创建了新的报告机制来处理因新软件能力而产生的新颖风险所改变的 attack surface。回到最初的焦点,间谍软件也有自己的跟踪,CyberPeace Institute收集影响公民社会的间谍软件报告,Freedom House发布了报告间谍软件使用的模板。显然,当前报告和信息共享的水平尚未满足采取更多行动的呼吁,我们可以将这些视为漏洞报告第三方评估的演变。然而,报告机制正与漏洞一起激增,一些协调将有所帮助。安全态势管理中的重要问题——我从哪里获取漏洞?我如何知道什么影响了我的同行?——在报告机制碎片化时更难回答。这就引入了能力建设…

能力建设与协调披露的重要性

Pall Mall 进程:良好实践咨询总结报告中建议的许多补救措施将大大有助于解决CCIC的扩散问题,也许出口管制除外。需要国际合作以建立关于危险技术使用和贸易的规范,并将负责任的政府使用和采购编入法典,解决了CCIC生命周期的部分问题。协调报告填补了CCIC生命周期的大部分其他部分,不仅是间谍软件使用和贸易的报告,还包括漏洞、漏洞利用和事件的报告。防御者之间的协调、安全信息共享,可以击退攻击者。为了在发现和利用软件缺陷的竞赛中取得领先,防御者利用负责任的漏洞披露来防御零日之前的缺陷。这需要研究,并需要一个健康的协调披露市场,以便研究远离CCIC的灰市。增加的出口管制可能会扼杀这种道德红队,阻止负责任的披露和主动安全。此外,随着管制的改变,间谍软件市场会适应并在新的司法管辖区组建新公司以规避这些限制。Pall Mall 进程应转向合作努力,尤其是报告。

改善信息共享与能力建设

可以采取更多措施来改善信息共享,而这正是真正需要能力建设的地方。激励使用协调披露过程的供应商无关的漏洞赏金计划将改善市场条件,推动研究走出灰市。这些计划需要承诺与HackerOne、BugCrowd和Trend Micro的零日倡议等供应商合作修复漏洞。否则,漏洞可能会被囤积以备日后用于漏洞利用,或被不打算发布有意义补丁的供应商捕获并杀死。此外,还需要资助漏洞分析计划以跟上漏洞发现速度的增长。今年,我们需要用人工智能工具赋能防御者,以分类人工智能发现的漏洞。安全信息共享计划在攻击之前推动保护,更多供应商可以遵循微软高级保护计划(MAPP)的范例,共享漏洞补丁信息。这些计划可以通过协调的漏洞分析得到增强,为防御者提供保持领先所需的工具。最后,事件报告的标准化和协调将通过增加对威胁环境的可见性来改善防御。

结论:治理始于可见性

漏洞是每个CCIC的起点,漏洞披露和分析的能力建设是问题的核心。事件协调也可以得到改善。虽然期望跨边界或行业部门的共同治理是不现实的,但可以采取更多措施来促进安全信息共享。监管比建立安全协作研究计划更具挑战性,改善网络威胁情报生态系统将提升所有防御者的水平。

治理始于可见性;你无法治理你看不到的东西。从那里,政策应首先改善安全。促进协调的漏洞披露是解决间谍软件问题的根本;漏洞使漏洞利用成为可能,从而使间谍软件工作。你必须处理生态系统,而不是单个症状,并使道德的漏洞披露成为每个人都必须达到的低标准。随着发现速度的增加和当前系统跟上这一速度的能力下降,现在就需要对漏洞和事件报告、分析和共享结构的支持。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次