如何对安全漏洞进行评估和修复

Johnston的小组已创建了一个漏洞披露索引（VDI），其中标明一旦真正发现一个漏洞所要采取的措施。Johnston说：“发现漏洞后紧跟的问题之一是，明确你要将

它告诉哪些人？所发现的漏洞都是要详细告诉漏洞评估的赞助人。这是无可厚非的，如果他们为漏洞评估提供资助，所有发现结果告诉他们是理所当然的，这并不存在什么问题。不过，我们所评估的成果通常拥有更普遍的可用性。现在问题在于，你要怎么做呢？一个典型例子是，如何骗过全球定位系统（GPS）。每个人都将焦点放在干扰GPS设备上，但这没什么意思，因为GPS接收器知道它未从空中接收到卫星信号。不过，骗过GPS却是出乎意料地容易，你将虚假合作信息提供给GPS接收器即可。

大量网络（比如，用于金融交易的网络）通过GPS卫星信号实现他们关键的时间同步。如果有人提供了GPS虚假信息，那么网络可在几毫秒就受到冲击，其潜在后果可能十分严重。有些人可能认为GPS干扰才是问题，不过在我们的观念中，GPS的欺诈问题更严重得多，且这一情况还未得到人们的广泛认识。我们是要讨论一下这个问题吗？我们要将这一问题写入报告吗？或者我们只是口上说说而已？

一直以来，这类问题都是突然出现的，但也有相当简单的，根据这些迹象你就能发现问题所在。如果大量守法公民看起来在了解漏洞方面似乎都不是十分精通，而小部分不法分子却精通，那么你可能必须将发现公之于众。如果这一攻击后果相当明显（我认为GPS欺诈也属此类），不法分子将会想方设法采取行动。因此，再重申一次，你必须将发现公之于众。而另一方面，如果它是一种并未得到很多人使用的专业安全设备，而大量潜在不法分子可能想要攻击它，那么也许你并不必公开这一漏洞，你只需要找出它所针对的终端用户，向他们指明潜在问题即可。漏洞泄露索引（VDI）是一种半定量尝试，就你是否应披露这一漏洞、以何种方式公开以及你应披露多少细节会为你提供一些指导。

Johnston的索引真正针对的是物理安全。IT安全则属于完全不同的领域。让我们假设一下，你正在玩电脑，突然发现了一个非常严重的软件漏洞。多数人赞成你采取以下行动: 联系软件公司，并告之“我认为这里存在一个问题”，为他们提供一个修复这一漏洞的机会。如果过了一段时间，他们仅在进行讨论而未采取任何措施，那么可能你就必须将这一问题公开。一旦他们修复这一问题，也就不会有大影响了。毕竟，每个购买这一产品的人通常会检查一下产品是否有升级功能。

而物理安全则并不是如此。在许多情况下，物理安全系统都是来自于许多不同供应商，而且极可能还是由第三方供应商组装而成。通常，没有一家公司会对潜在漏洞进行投诉。此外，修复方式不只是一些软件下载，可能需服务人员出动，更换一些零件，因此它可能是非常昂贵且具破坏性的。在你让每个人都注意到一个物理安全漏洞时，你可能先要考虑一下这种方式对于修复这一问题是否实用。

当漏洞评估工作得到赞助时，赞助人可拥有发现的成果，但这也未必就表示漏洞评估员可以不警告他人。这点可能让那些想要雇人进行漏洞评估的CSO有些担心害怕，从而想要用一纸合约来确保评估结果依然为私人所有。举个例子吧，假设一家公司正考虑采用一款商用安全设备，假设我们对这款设备做了一次漏洞评估，可如果企业用一纸合约就可横加干涉，那么评估结果将起不到什么作用。我们知道商用设备一直被用于包括企业安全、美国国家安全以及核保障在内的各种应用中。我们相信我们负有道义上的责任，应告诉人们可能存在的问题。对于我们的这种处理方式，与我们合作过的大多数公司都未有任何异议；在一些案例中，甚至有一些企业是鼓励我们这样做的。