美國(guó)國(guó)家安全局(NSA)公布了有關(guān)其漏洞披露政策的一些統(tǒng)計(jì)數(shù)據(jù)以及指導(dǎo)原則，但有專家表示他們沒(méi)有公布重要的細(xì)節(jié)。

[[156353]]

網(wǎng)站詳細(xì)介紹了NSA的漏洞披露政策，這又引出了這樣一個(gè)問(wèn)題：NSA是否會(huì)披露其發(fā)現(xiàn)的漏洞?根據(jù)NSA表示，這個(gè)問(wèn)題的答案在大部分時(shí)候是肯定的，因?yàn)樨?fù)責(zé)任的披露“顯然符合國(guó)家利益”。但NSA也聲稱，披露的決策其實(shí)非常困難和復(fù)雜。

“對(duì)于披露漏洞的決定，既有優(yōu)點(diǎn)又有缺點(diǎn)，并且，在及時(shí)披露和在有限時(shí)間內(nèi)不公布某些漏洞之間的權(quán)衡會(huì)帶來(lái)顯著的后果，”NSA寫道，“披露漏洞可能意味著我們放棄了機(jī)會(huì)去收集重要外國(guó)情報(bào)，而這些情報(bào)可能幫助我們阻止恐怖襲擊，防止國(guó)家知識(shí)財(cái)產(chǎn)被盜竊，或者發(fā)現(xiàn)被用來(lái)攻擊我們網(wǎng)絡(luò)的更危險(xiǎn)的漏洞。”

曾在美國(guó)國(guó)防部和NSA任職、現(xiàn)任Pulse Secure公司戰(zhàn)略高級(jí)副總裁David Goldschlag表示，在這件事情上，他贊同NSA的做法。

“雖然我認(rèn)為應(yīng)該完全披露漏洞讓供應(yīng)商可以解決這些問(wèn)題，但我們需要知道的是，NSA具有雙重使命：收集信息和保護(hù)信息，”Goldschlag表示，“有時(shí)候，這兩個(gè)使命會(huì)有所沖突，所以NSA需要制定政策使其能夠完成工作。”NSA稱，從歷史上來(lái)看，在91%的情況下，他們發(fā)現(xiàn)的漏洞會(huì)經(jīng)過(guò)該機(jī)構(gòu)的內(nèi)部審核程序，并披露給供應(yīng)商。在其余的9%的情況中，漏洞在NSA披露之前就已經(jīng)被供應(yīng)商修復(fù)，或者出于國(guó)家安全原因而沒(méi)有披露。

專家指出，這一解釋并沒(méi)有透露NSA已經(jīng)披露的具體漏洞數(shù)量、披露的時(shí)限或者所披露的漏洞的嚴(yán)重程度，所以我們沒(méi)有辦法知道是否有披露零日漏洞。

然而，Rook Security公司安全運(yùn)營(yíng)負(fù)責(zé)人Tom Gorup表示，NSA公布的百分比數(shù)據(jù)提出了更多問(wèn)題，而不是回答問(wèn)題。

“我們不知道NSA正在應(yīng)對(duì)的漏洞數(shù)量或者所涵蓋的時(shí)間段，這是5年、10年還是20年的數(shù)量?我們談?wù)摰氖?000、10000還是100000個(gè)漏洞?”Gorup問(wèn)道，“如果沒(méi)有原始數(shù)據(jù)，不可能確定披露的時(shí)間(TTD)，并且最終的指標(biāo)也會(huì)受到影響。我希望看到TTD指標(biāo)，披露漏洞的原始數(shù)量以及這個(gè)指標(biāo)涵蓋哪個(gè)時(shí)間段。”

Gorup表示，對(duì)于私營(yíng)行業(yè)而言，漏洞存在幾個(gè)月或者幾年可能帶來(lái)巨大的風(fēng)險(xiǎn)，因此我們應(yīng)該要求NSA提供更多的透明度。

“我完全理解收集情報(bào)的需要，因?yàn)檫@有利于國(guó)家安全，”Gorup表示，“我們需要相信我們的政府會(huì)做出正確的決定，但我們也必須對(duì)基本的過(guò)程有某種驗(yàn)證和了解。我們很難相信其他人沒(méi)有或不會(huì)發(fā)現(xiàn)未披露的漏洞。”