美国国家安全局(NSA)公布了有关其漏洞披露政策的一些统计数据以及指导原则,但有专家表示他们没有公布重要的细节。
网站详细介绍了NSA的漏洞披露政策,这又引出了这样一个问题:NSA是否会披露其发现的漏洞?根据NSA表示,这个问题的答案在大部分时候是肯定的,因为负责任的披露“显然符合国家利益”。但NSA也声称,披露的决策其实非常困难和复杂。
“对于披露漏洞的决定,既有优点又有缺点,并且,在及时披露和在有限时间内不公布某些漏洞之间的权衡会带来显著的后果,”NSA写道,“披露漏洞可能意味着我们放弃了机会去收集重要外国情报,而这些情报可能帮助我们阻止恐怖袭击,防止国家知识财产被盗窃,或者发现被用来攻击我们网络的更危险的漏洞。”
曾在美国国防部和NSA任职、现任Pulse Secure公司战略高级副总裁David Goldschlag表示,在这件事情上,他赞同NSA的做法。
“虽然我认为应该完全披露漏洞让供应商可以解决这些问题,但我们需要知道的是,NSA具有双重使命:收集信息和保护信息,”Goldschlag表示,“有时候,这两个使命会有所冲突,所以NSA需要制定政策使其能够完成工作。”NSA称,从历史上来看,在91%的情况下,他们发现的漏洞会经过该机构的内部审核程序,并披露给供应商。在其余的9%的情况中,漏洞在NSA披露之前就已经被供应商修复,或者出于国家安全原因而没有披露。
专家指出,这一解释并没有透露NSA已经披露的具体漏洞数量、披露的时限或者所披露的漏洞的严重程度,所以我们没有办法知道是否有披露零日漏洞。
然而,Rook Security公司安全运营负责人Tom Gorup表示,NSA公布的百分比数据提出了更多问题,而不是回答问题。
“我们不知道NSA正在应对的漏洞数量或者所涵盖的时间段,这是5年、10年还是20年的数量?我们谈论的是1000、10000还是100000个漏洞?”Gorup问道,“如果没有原始数据,不可能确定披露的时间(TTD),并且最终的指标也会受到影响。我希望看到TTD指标,披露漏洞的原始数量以及这个指标涵盖哪个时间段。”
Gorup表示,对于私营行业而言,漏洞存在几个月或者几年可能带来巨大的风险,因此我们应该要求NSA提供更多的透明度。
“我完全理解收集情报的需要,因为这有利于国家安全,”Gorup表示,“我们需要相信我们的政府会做出正确的决定,但我们也必须对基本的过程有某种验证和了解。我们很难相信其他人没有或不会发现未披露的漏洞。”