收录于话题 美国政府于2010年创建了VEP,作为国家安全局(NSA)的内部机制,召集联邦机构讨论如何处理影响软件或硬件的零日漏洞。这一过程在布什和奥巴马政府期间逐渐演变成一个机构间工具,用于对零日决策进行规范化审议。 自VEP(漏洞公平裁决程序)制度成立以来,学者、记者和前政府官员一直警告VEP的局限性、漏洞和监督的必要性。尽管警告之声从未停止,VEP仍然是一项处于阴影中在实施的政策。当美国政府发现信息系统中可利用的弱点或漏洞时,VEP将指导是否披露的决策过程。政府在此过程中决定是否披露其发现的安全漏洞,或出于国家安全、情报或执法目的是否要保密这个漏洞。根据章程,VEP提供了一种跨机构机制,旨在平衡“是将漏洞信息通报给供应商/厂商以期望更新或修补,还是暂时将漏洞的信息和知识限定在美国政府机构,以及潜在的其他合作伙伴,以便其可用于国家安全和执法目的,例如情报收集、军事行动和/或反情报。2021年以来,相继发生的一系列事件为对这一鲜为人知但影响深远的政策进行实质性审查和有意义的改革创造了机会窗口。
三个有利条件 第一个有利条件是Kaseya、Colonial Pipeline、SolarWinds和Microsoft Exchange攻击的后果。这几起重大网络攻击事件提供了令人信服的警示,即政府和私营部门网络紧密相连并相互依存,及时和准确的信息共享至关重要。这一观察结果虽然显而易见,但需要不断重复,因为美国政府继续采用将公共和私营部门对网络安全的责任分开的政策。备受瞩目的网络空间日光浴室委员会报告强调了“与私营部门开展网络安全合作”的必要性。该报告敦促美国政府和工业界制定“一项新的社会责任共担契约,以确保国家在网络空间中的安全”。新安排必须包括更好的信息共享机制,以实现对网络威胁的“真正共享态势感知”。为此,信息流必须双向流动,从行业到政府,从政府到行业。VEP遭受批评的一点,就是它为阻止政府进入行业的信息流动,并在其后制造不信任。随着SolarWinds和Microsoft Exchange漏洞的范围每天都有新的发展,改革VEP的呼声在白宫和国会山引起了共鸣。
第二个条件是在行政部门设立(在某些情况下重新设立)了网络安全工作关键职位。拜登总统任命Anne Neuberger担任国家安全委员会网络和新兴技术副国家安全顾问,Chris Inglis担任国家网络总监,这是国会在最近的国防授权法案中设立的职位,Jen Easterly担任国土安全部网络安全和基础设施安全局局长。在前政府于2018 年取消网络安全协调员职位后,这些都是可喜的进展。三人都可能以某种方式参与VEP审查过程,并负责考虑对VEP进行改革。虽然每个职位影响有意义变化的能力以及职位之间的关系仍然存在问题,但他们这种格局形成了采用系统性政府方法应对网络威胁所需的架构,并响应对新的国家网络战略的呼声。重新评估VEP的作用和有效性肯定会成为更大的网络战略审查项目的一个组成部分。 第三个条件是其他国家公布漏洞披露流程的趋势。最近有几个盟友这样做了。英国于2018年11月发布了其披露流程,2019年澳大利亚发布了网络安全漏洞的负责任发布原则。各国对公开承诺的需求来自公司和智囊团,包括欧洲政策研究中心 (CEPS) 的报告、跨大西洋网络论坛和卡内基国际和平基金会。这些呼吁包括要求确定参与漏洞评估过程的实体机构、增加私营部门的代表、就评估标准达成一致、缩短保密时间以及缩短对保密的漏洞进行重新评估之间的时间。随着越来越多的国家公布其漏洞披露流程,为比较分析和批评创造机会,美国将不得不重新调整其VEP,以确保与其国际伙伴的一致性和持续合作。
VEP政策改革的重点
这些条件为重新审查VEP奠定了基础,并创造了一个有利环境,在这种环境中,不考虑改革将受到美国和国际社会批评者的谴责。对建议更改的全面审查超出了本文的范围,但是,任何改革工作都应优先考虑四个目标。 首先,需要将该VEP政策正式化为行政命令了。正如Rob Knake所描述的,VEP目前仅作为“机构之间的协议”存在。应注意将其地位提升为行政命令的呼吁。这样做将提供形式化,同时保持灵活性和自由裁量权。呼吁将VEP编入美国法典是善意的,但不太可能解决对缺乏透明度和潜在滥用的担忧。相反,编入法典可能会导致无法准确反映技术环境或漏洞市场的陈旧、无效的约束。由于网络行动需要保密和响应,该领域最好由行政部门自行决定,允许在需要时灵活修改,并通过有效的国会报告和内部监督机制进行平衡。
尽管NSA人员充足且资源充足,可以作为VEP的行政总部,但其起源于国防和情报领域,这在私营部门内造成了不信任,并产生了出于国家安全或情报收集目的而倾向于保密漏洞的看法。
其次,VEP的结构变化应该是第二个优先事项,应该包括将执行秘书处从国家安全局(NSA)重新分配到国土安全部内的网络安全和基础设施安全局 (CISA)(未来可能转移到国家网络办公室)。正如Sven Herpig所指出的,“机构设置是设计”漏洞公平裁决流程时最艰巨的挑战之一。牵头机构的选择应与能够平衡竞争裁决并避免过度偏袒国家安全利益的实体进行。 尽管NSA人员充足且资源充足,可以作为VEP 的行政总部,但其起源于国防和情报领域,这在私营部门内造成了不信任,并产生了出于国家安全或情报收集目的而倾向于保密漏洞的看法。
NSA决定将EternalBlue漏洞保留到2017年,严重破坏了信任赤字。尽管 NSA 最近努力重建与私营部门合作伙伴的信任,但这种过去保密关键漏洞的残留影响投下了长长的阴影。将执行秘书处转移到一个负责与私营部门合作的民间机构,将反驳VEP倾向于支持国家安全裁决的看法,并将证明修订后的VEP适当地纳入了行业观点。
第三个改革重点,同样侧重于VEP的结构,应该为私营部门对裁决审查委员会(ERB)的决策提供意见,通过增加行业代表,或在评估过程中提供行业意见机制。尽管ERB目前有来自商务部和能源部的代表,但事实证明,他们的存在不足以保护私营部门的利益。正如阿什利·迪克斯 (Ashely Deeks) 最近关于“保密代理人”的工作所示,将私营部门代表纳入机密的国家安全决策机构提供了显着的好处。这些代表提供技术专长,并作为对滥用政府机密的外部检查。优先考虑上述结构性改革将使美国政府将漏洞用于合法情报、执法和国防目的与其实现私营部门合作的努力保持一致。
第四个改革重点,应该是加强监督和透明度机制。国会报告结构,在 50 U.S.C. 3316a是在外部监督和透明度方面令人钦佩的第一次努力。然而,它将从澄清和扩展的呼吁中受益。年度报告的内容应扩大到包括保密的漏洞数量、保密的具体目的、保密时间以及保密重新评估过程的信息。它还应包括有关VEP第5.4节中排除的漏洞的更详细信息。修订后的报告要求应突出由于与外国和研究合作伙伴的保密协议或谅解备忘录而保留的决定。例如,报告应包括有关每个机构购买的漏洞数量和成本的信息。这一信息将有助于国会评估采购例外,据估计,美国国家安全局2013年零日漏洞采购预算为2510万美元,是否正在吞噬该政策的目标,即平衡政府需求与公共和私营部门利益。此外,机密年度报告的委员会接收者应扩大到情报委员会之外,还包括众议院和参议院的国防委员会。事实上,新成立的网络、创新技术和信息系统小组委员会 (CITI) 的主席很可能对此感兴趣。最后,虽然法规要求“非机密附录”,但该文件不易向公众开放。改革应注意先前要求发布公开年度报告的呼吁。
第五,内部监督方面需要进行相关改革。先前的立法提案要求情报界监察长 (IG IC) 对VEP决定进行年度审计。国会应重新审议该提案,并责成IG IC(或最好是DHS的IG)进行年度审计任务和对每个机构内部VEP流程的审计。这将确保选择或排除漏洞提交给VEP的方式的一致性。这些监督改革将提高VEP的透明度,同时不会过度阻碍行政部门在使用漏洞以支持进攻性和防御性网络措施方面的灵活性需求。VEP声明的目的是“优先考虑公众在网络安全方面的利益,并通过披露USG发现的漏洞来保护核心互联网基础设施、信息系统、关键基础设施系统和美国经济,而没有明显的、压倒一切的使用兴趣”出于合法情报、执法或国家安全目的的漏洞。”毫无疑问,在网络能力对国防至关重要的时代,VEP发挥着关键作用。然而,它必须从阴影中拉出来,才能有效地发挥作用,并以适当调整所涉利益的方式进行改革。改革VEP的条件是正确的,上述优先事项将阐明美国政府如何以及何时利用漏洞,同时还将美国确立为网络空间负责任行为的领导者。
改革VEP以提高透明度、问责制和公众信任是美国政府整体网络安全战略的关键部分。VEP的核心是决定政府是偏爱网络防御还是攻击,这具有巨大的社会影响。虽然这些决定必须逐案做出,但阐明这些决定的制定方式并在这些决定中加入更多不同的声音将有助于确保所有美国相关利益方的权益都得到考虑。关于美国政府的网络战略是防御性还是攻击性,网络司令部今年以来的各种表现显示,不仅军事行动有网络司令部的身影,在打击网络犯罪方面,网络司令部(注意美国网络司令部与NSA是一个BOSS,目前还是中曾根将军)也开始发力助阵,直接出手。这样看来,指望由NSA主持的VEP政策有实质性的变革,恐怕是异想天开了。
打击网络犯罪,美军网络司令部再度出手
美网络司令部司令再放狠话--将严惩网络攻击的幕后元凶
参考资源 1、https://warroom.armywarcollege.edu/articles/vep/ 2、https://www.thirdway.org/memo/to-patch-or-not-to-patch-improving-the-us-vulnerabilities-equities-process
记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华
“透明度PK国家安全?美国的VEP政策改革呼声再起”共有0条留言
发表评论
黑帝公告 📢
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤