风险加剧的威胁环境中,漏洞披露与能力建设至关重要

本文探讨了在日益复杂的网络威胁环境中,国际协作、漏洞披露与能力建设的重要性。文章分析了间谍软件的危害、漏洞发现率的增长以及当前威胁情报生态系统的挑战,并提出了通过协调漏洞披露和加强信息共享来提升防御能力的建议。

风险加剧的威胁环境中,漏洞披露与能力建设至关重要

国际协作、报告和能力建设对于增强网络安全防御至关重要。在日益风险化的环境中,有效治理需要可见性以及协调的漏洞披露。

Pall Mall 进程与间谍软件的持续威胁

Pall Mall 进程于 2024 年 2 月由英国和法国发起,旨在就商业网络入侵能力(CCICs)的扩散建立多利益相关方对话。这项工作源于其他团体倡议,包括 CyberTech 协议和巴黎网络空间信任与安全呼吁,以及巴黎和平论坛的参与。然而,间谍软件仍然是一个日益增长的关切,全球报告的事件不断增加。结合漏洞发现率的增长和披露报告的分裂化,政策制定者面临将其承诺转化为行动的必要性。在第二届 Pall Mall 进程会议前夕,重要的是考虑当前威胁环境的状况如何影响对 CCICs 贸易的行动。

Pall Mall 进程对间谍软件的关注是可以理解的,考虑到这些恶意软件对个人隐私、人权和国家安全造成的危害。尽管 NSO Group 的恶意软件 Pegasus 逐渐衰落,但仍在野外被检测到。其使用的后果仍在持续,美国地区法院发现其在针对 WhatsApp 服务器时违反了美国和加利福尼亚州的法律。对这一裁决会冷却间谍软件市场的预测,听起来很像最初对间谍软件供应商实施制裁时的冷却声音。间谍软件仍然泛滥,墨西哥和意大利最近均被指控监视其公民。间谍软件的核心是通过利用目标用户的设备来窃取敏感信息以获利。《纽约客》杂志估计 2021 年全球间谍软件贸易额约为 120 亿美元,自那时起,间谍软件市场持续适应,没有放缓的迹象。

漏洞发现率的增长与人工智能的作用

2024 年超出了那些希望有一个漏洞和零日漏洞丰收年的人的期望。虽然没有迹象表明人工智能正在增加发现和利用的速率,但技术正朝着这个方向发展。在开源软件方面,谷歌研究人员已经展示了大型语言模型(LLMs)如何降低漏洞发现的门槛。随着代理式人工智能挂钩工具的使用,如逆向工程和生成式模糊测试工具,人工智能将越来越能够将其应用于更复杂和更有趣的封闭软件。将这些打包成广泛可部署的漏洞利用仍然是进行中的研究,通常需要零日漏洞开发者无法获得的详细描述。寻找和关闭漏洞的竞赛长期以来一直是网络安全中的持续战斗之一,使紫队与交易间谍软件、漏洞利用和漏洞的灰市对立。狭义定义和限制一类软件,例如间谍软件,会将问题转移到问题的起点——交易漏洞和漏洞利用。

威胁情报生态系统的挑战

虽然软件利用风险上升,但我们当前的威胁情报生态系统并未迎头赶上挑战。漏洞严重性和描述的主要权威是美国国家漏洞数据库(NVD),由 NIST 维护。NVD 承认他们无法跟上漏洞发现的速度,分析积压是网络安全中一个已知且日益严重的问题。CISA 维护已知被利用漏洞(KEV)列表,指示哪些漏洞(记录在 NVD 中)在野外被利用。当供应商独立评估其软件中的漏洞或通过自己的漏洞赏金计划在 obscurity 中进行,然后发布表明“一切良好”的补丁时,往往仍然存在漏洞。这个问题也适用于评估其新人工智能安全性的供应商,表明在促进第三方漏洞披露方面更加紧迫。虽然供应商通过主动改进其产品从这些第三方协调披露中受益,但市场对于道德漏洞研究和披露来说并不是最优的。目前,市场看起来像一个迭代的囚徒困境,每个国家都选择背叛,以保持自己对间谍软件、漏洞利用和漏洞的访问。

报告与分析的分裂化

也许为了填补一些空白,报告和分析正变得更加分裂。上周,Wiz 宣布了一个在线漏洞数据库,用于真正重要的云漏洞。当我们看新兴的人工智能软件时,新的报告机制已经被创建来处理由于新软件能力创建的新风险而发生的事件的不断变化的攻击面。回到最初的焦点,间谍软件也有自己的跟踪,网络和平研究所收集影响公民社会的间谍软件报告,自由之家发布了一个报告间谍软件使用的模板。显然,当前的报告和信息共享水平尚未满足采取更多行动的呼吁,我们可以将这些视为漏洞报告第三方评估的演变。尽管如此,报告机制正在与漏洞一起扩散,一些协调将有所帮助。安全态势管理中的重要问题——我从哪里获取漏洞?我如何知道什么影响了我的同行?——在报告机制分裂时更难回答。进入能力建设…

能力建设与协调漏洞披露

Pall Mall 进程:良好实践咨询总结报告中建议的许多补救措施将大大有助于解决 CCICs 的扩散问题,也许除了出口管制。国际合作建立危险技术使用和贸易的规范是必要的,编纂负责任的政府使用和采购解决了 CCIC 生命周期的部分问题。协调报告填补了 CCIC 生命周期的大部分其他部分,不仅是间谍软件使用和贸易的报告,还包括漏洞、漏洞利用和事件的报告。防御者之间的协调,安全信息共享,可以击退攻击者。为了在发现和利用软件缺陷的竞赛中领先,防御者利用负责任的漏洞披露来在零日之前防御缺陷。这需要研究,并需要一个健康的协调披露市场,以便研究被驱离 CCICs 的灰市。增加的出口管制可能会扼杀这种道德红队,阻止负责任的披露和主动安全。此外,随着管制的改变,间谍软件市场会适应并在新的司法管辖区成立新公司以规避这些限制。Pall Mall 进程应转向合作努力,尤其是报告。

可以做得更多来改善信息共享,这正是真正需要能力建设的地方。激励使用协调披露过程的供应商无关的漏洞赏金计划将改善驱动研究离开灰市的市场条件。这些计划需要承诺与像 HackerOne、BugCrowd 和 Trend Micro 的零日倡议(Zero Day Initiative)这样的供应商合作修复漏洞。否则,漏洞可能被囤积以备后续在漏洞利用中使用,或被不打算发布有意义的补丁的供应商捕获并杀死。此外,资助漏洞分析计划也需要跟上漏洞发现速度的增加。今年我们需要用人工智能工具赋能防御者,以分诊人工智能发现的漏洞。安全信息共享计划在攻击之前驱动保护,更多供应商可以遵循微软高级保护计划(MAPP)的例子共享漏洞补丁信息。这些计划可以通过协调的漏洞分析来增强,为防御者提供他们需要保持领先的工具。最后,事件报告的标准化和协调将通过增加对威胁环境的可见性来改善防御。

结论:治理始于可见性

漏洞是每个 CCIC 的起点,漏洞披露和分析的能力建设直击问题的核心。事件协调也可以得到改善。虽然期望跨边界或行业部门的共同治理是不现实的,但可以做得更多来促进安全信息共享。监管比建立安全协作研究计划和改善网络威胁情报生态系统更具挑战性,这将提升所有防御者的水平。

治理始于可见性;你无法治理你看不到的东西。从那里,政策应首先改善安全。促进协调的漏洞披露直击间谍软件问题的根源;漏洞使漏洞利用工作,从而使间谍软件工作。你必须处理生态系统,而不是单个症状,并使道德的漏洞披露成为每个人都必须达到的低门槛。随着发现率的增加和当前系统跟上这一速度的能力下降,现在就需要支持漏洞和事件报告、分析和共享结构。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次