在網(wǎng)絡(luò)安全領(lǐng)域，零日漏洞（0day漏洞）的處理一直備受關(guān)注。零日漏洞，指的是那些軟件中已存在，但軟件制造商尚未察覺，因而在被發(fā)現(xiàn)時仍未得到修復(fù)的安全漏洞。任何使用含有這類漏洞軟件的系統(tǒng)，都如同在黑客面前 “裸奔”，隨時可能遭受攻擊，數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果都可能接踵而至。

為了應(yīng)對這一棘手的問題，美國政府早在 2010 年就設(shè)立了 “漏洞公平處理程序”（VEP）。并在最近發(fā)布的一份首創(chuàng)報告透露，2023 年他們向軟件供應(yīng)商或公眾披露了39個零日軟件漏洞，目的是讓這些漏洞得以修復(fù)或緩解，而非保留它們用于黑客行動。

但VEP的披露一直存在數(shù)字缺失與公眾疑慮的問題，在特朗普政府執(zhí)政期間，這種信息不透明的問題可能會變得更嚴(yán)重。

VEP過往披露迷霧：數(shù)字缺失與公眾疑慮

過去，美國政府對外宣稱，經(jīng)過 VEP 審查的漏洞，有 90% 以上都會被披露。然而，這一說法始終缺乏具體數(shù)字的支撐，使得公眾難以確切判斷政府實際儲備的零日漏洞數(shù)量，也無法確定這個所謂的公平處理程序，是否真的如政府所宣稱的那樣，更傾向于披露漏洞，而非利用漏洞。

直到上個月，美國國家情報總監(jiān)辦公室發(fā)布了一份單頁非機(jī)密文件，披露 2023 年向軟件供應(yīng)商或公眾披露了 39 個零日漏洞，目的是讓這些漏洞得以修復(fù)或緩解 ，然而，這份文件并未說明 2023 年到底有多少漏洞經(jīng)過了 VEP 裁決，也沒提及當(dāng)年政府保密了多少漏洞。

在披露的39個漏洞里，有10個之前就已經(jīng)過裁決程序，這意味著VEP審查委員會的成員在前一年或幾年投票決定將它們保密，然后在2023年決定披露它們。根據(jù)VEP政策，一旦委員會就零日漏洞做出決定，該決定將一直有效，直到委員會在第二年重新審查該決定，或者政府了解到犯罪黑客或民族國家對手正在利用該漏洞。

雖然文件未提及在 2023 年披露這10個漏洞之前，政府隱瞞了多少年，但2017年蘭德公司的一項研究發(fā)現(xiàn)，對于第三方賣家提供給美國政府的一組漏洞，通常要過七年甚至更久，才會有人把漏洞披露給軟件制造商進(jìn)行修復(fù)，或者軟件制造商在發(fā)布新版本程序時無意中修復(fù)，政府的零日漏洞可能也存在類似的時間跨度。

特朗普政府執(zhí)政對 VEP 的影響

這種缺乏透明度的問題在特朗普政府執(zhí)政期間可能會變得更加嚴(yán)重。特朗普政府上臺后，承諾要加大政府的網(wǎng)絡(luò)攻擊行動，這意味著美國政府對零日漏洞的需求可能會在未來四年內(nèi)增加。如果出現(xiàn)這種情況，政府之前關(guān)于VEP更傾向于披露和防御而不是隱瞞和攻擊的說法可能不再成立。

特朗普政府或許覺得之前披露的漏洞過多，其理念可能從過去默認(rèn)的 “除非有充分理由保留，否則就披露”，轉(zhuǎn)變?yōu)?“除非有充分理由披露，否則就保留” 。這種轉(zhuǎn)變使得零日漏洞披露時間被拉長，帶來了諸多風(fēng)險。

一方面，軟件系統(tǒng)長時間暴露在已知漏洞的威脅之下，黑客利用這些未及時披露修復(fù)的漏洞進(jìn)行攻擊的可能性大增，無論是個人用戶的數(shù)據(jù)安全，還是企業(yè)、政府機(jī)構(gòu)的關(guān)鍵信息基礎(chǔ)設(shè)施，都面臨更高的安全風(fēng)險。例如，企業(yè)的核心業(yè)務(wù)系統(tǒng)可能因零日漏洞被攻擊，導(dǎo)致業(yè)務(wù)中斷，造成巨大的經(jīng)濟(jì)損失；政府機(jī)構(gòu)的敏感數(shù)據(jù)也可能被竊取，威脅國家安全。

另一方面，這也嚴(yán)重影響了公眾對政府網(wǎng)絡(luò)安全政策的信任。民眾會質(zhì)疑政府在網(wǎng)絡(luò)安全保障方面的誠意和能力，進(jìn)而對政府的其他政策舉措也產(chǎn)生不信任感。

VEP 程序的運行機(jī)制與爭議

此外，VEP 程序本身還存在一些其他問題。例如，不是所有漏洞都要經(jīng)過 VEP 審查。政府機(jī)構(gòu)根據(jù)保密協(xié)議，從賣家那里購買的漏洞，就可以不用經(jīng)過 VEP 審查。要是賣家不是獨家銷售，還想把零日漏洞賣給其他客戶，就會要求簽訂保密協(xié)議。根據(jù)諒解備忘錄，從外國政府機(jī)構(gòu)獲得的零日漏洞，也可以不經(jīng)過 VEP 審查。就算漏洞不用審查，也得報告給委員會主席，每個機(jī)構(gòu)不用審查的漏洞數(shù)量，也得向所有成員公開。

2016 年，為了回應(yīng)一起訴訟，VEP 章程被公開，公民自由組織對此表示擔(dān)憂，因為只有政府機(jī)構(gòu)能參與決策，看起來沒有任何人代表公眾利益。而且除了成員機(jī)構(gòu)，好像也沒有獨立的監(jiān)督機(jī)制。委員會本來應(yīng)該每年發(fā)布一份報告，說明所有經(jīng)過審查的零日漏洞情況，但并沒有規(guī)定要把這份報告交給國會或者公眾。

2017 年，政府發(fā)布了修訂后的章程，讓國家安全委員會來監(jiān)督這個程序。之前的章程主要強(qiáng)調(diào)美國政府的利益，修訂后的章程則表示，只要沒有 “明顯的、壓倒性的利益，需要把漏洞用于合法的情報、執(zhí)法或國家安全目的”，這個程序就應(yīng)該優(yōu)先考慮公眾利益，以及關(guān)鍵信息和基礎(chǔ)設(shè)施系統(tǒng)的安全。

章程還說，在 “絕大多數(shù)情況下”，披露漏洞 “符合國家利益”。后來才增加了向情報界提供報告，以便監(jiān)督的要求，這也是 VEP 唯一被編纂成法的部分。這就意味著，只要這個程序還只是政策，沒變成法律，現(xiàn)任政府就可以隨意更改。不過要是真改了，就得通知情報界。

風(fēng)險評估難題與未來隱憂

Luta Security 公司的創(chuàng)始人兼首席執(zhí)行官凱蒂?穆蘇里斯（Katie Moussouris），曾擔(dān)任政府現(xiàn)已解散的網(wǎng)絡(luò)安全審查委員會顧問。她一直對這個程序有個疑問，那就是審查委員會到底是怎么評估零日漏洞的風(fēng)險，進(jìn)而決定是否披露的。她以前是微軟的首席高級安全策略師，她表示，目前還沒有可靠的評估方法，就連微軟自己，也很難準(zhǔn)確判斷很多漏洞帶來的風(fēng)險。微軟可能知道有多少直接客戶在使用有漏洞的代碼，但很難估算有多少經(jīng)銷商，還有其他方面，把有漏洞的代碼嵌入到了關(guān)鍵基礎(chǔ)設(shè)施組件、醫(yī)療設(shè)備、銀行機(jī)器，還有其他系統(tǒng)里?！耙沁B軟件供應(yīng)商自己都很難評估相對風(fēng)險，那聯(lián)邦政府又該怎么評估呢？” 她的質(zhì)疑也反映出 VEP 在風(fēng)險評估方面的困境。

參考來源：https://www.zetter-zeroday.com/u-s-government-disclosed-39-zero-day-vulnerabilities-in-2023-per-first-ever-report/