最后更新于2022年12月28日星期三17:03:39 GMT

2023年,就像一列疯狂的北极列车,载满了令人不安的人工智能生成的逼真人物,向我们飞驰而来, 我想花点时间在博客上宣布,我们来到了Rapid7, 公司. 是否更新了我们的协调漏洞披露(CVD)政策和理念. 如果你想知道具体细节,你可以去 刷新后的CVD页面. 否则,如果你想了解我们更新CVD政策的更多原因,请继续阅读.

凝聚力哲学

Rapid7, 如你所料, 这里到处都是兼职的安全研究人员, 全职, 业余爱好者, 专业人士也是如此, 我们经常遇到我们希望看到修复的软件漏洞. 这些错误可能存在于专门的环境中, 在云端, 掌握在最终用户手中, 或者在企业数据中心. 漏洞本身可能会被广泛利用,或者它们可能很难被触发. 有时, 漏洞本身在技术上可能违反了安全原则, 但其开发的实际效果将是一种“无聊”."

诸如此类. 事实证明, 我们以前的“一刀切”式的心血管疾病已经行不通了, 当我们遇到越来越多的边缘情况时 类型 我们所了解的弱点. 认识到, 我们认为,在大多数情况下,提出一些我们打算实现的目标,并提出我们期望做的事情,将会有所帮助. 从那里, 我们可以列举所有我们能想到的(和经历过的)边缘情况,并记录这些情况与通常的漏洞披露流程有何不同.

So, 远发, 我们把这个(相当简洁的)原因放在一起,为什么我们首先参与协调漏洞披露:

  1. 我们相信,通过使攻击者工具和知识的访问民主化,可以加强防御. Rapid7的独特优势之一是我们对攻击者如何工作的深入了解. 我们的漏洞研究和Metasploit团队努力使攻击者的能力, 否则这主要是罪犯使用的, 对所有人开放.  这使防御者能够理解并确定关键漏洞的优先级, 开发检测和缓解措施, 测试安全控制. 发布公开的漏洞利用代码和新的研究成果是我们缩小安全成就差距的核心任务.
  2. 公开披露漏洞是健康的网络安全生态系统的关键组成部分. Rapid7提倡, 和实践, 及时公开披露第三方产品和我们自己的系统和解决方案的漏洞. 这包括我们在客户的技术堆栈中独立发现的漏洞. 通过透明的, 开放, 及时披露漏洞, Rapid7能够帮助整个互联网保护和捍卫那些对现代文明至关重要的资产和服务.
  3. 组织需要有关风险的及时信息,以便在保护网络方面做出明智的选择——尤其是在主动攻击期间. 我们的漏洞披露政策包含了一些具体的规定,以便在观察到漏洞利用的情况下加速公开披露. 当供应商的产品中存在将风险引入下游客户环境的安全问题时,供应商通常(可以理解)采取行动来保护自己的业务和声誉. 当我们知道在野外的剥削, 或者当我们认为威胁行为者可能秘密地将非公开漏洞武器化时, 我们的首要任务是提醒客户和社区,以便他们采取行动保护他们的组织.

基本CVD

以此为基础, 我们已经更新并阐明了什么是漏洞披露中的“正常”, 在Rapid7中,每个人都应该期待的五点指南. 你可以在 http://3zsadn.methodistcorner.net/安全/disclosure (随着时间的推移可能会略有变化),但总的来说,我们的基本标准方法是:

  • 首先要对事情保密;
  • 预留CVE ID;
  • 15天后通知CERT/CC;
  • Publish about it after 60 days; 和
  • 鼓励发布修复程序

Rapid7还将:

  • 延长披露时限(在合理范围内)
  • 如果软件维护者发布,则发布,并且
  • 如果有重复的报告,不要拖延

在网络安全领域,这一切似乎都很正常, 并反映了行业标准的颁布,如 ISO 29147ISO 30111. 在内部,我们称之为“土豆案例”,因为它是各种 变化 和排列. 和, 就像土豆一样——你可以把它切丁, 片, 浅锅里油炸, 烤, 土豆泥, 压力烹饪, 季节, 肉汁, 黄油, 等等——我们可以采取这个基本政策,稍微调整一下,以达到我们需要达到的所有心血管疾病的边缘情况.

边缘情况(不保证尖锐)

好了,别再谈土豆了. 饿了.

漏洞会导致意外情况和未定义的行为, 所以我们的CVD应该预测到曲线球和奇怪的情况. 我们将漏洞划分为六类(以及“不止一类”的元分类),并对每种情况的标准情况进行轻微修改:

  • 野外开发: 当漏洞被积极利用时, 时间是至关重要的,这样防守者才能加速并开始防守, 现在. 在这种情况下袖手旁观60天是非常不负责任的, 因此,预计几天内就会发布公告,而不是两个月.
  • 绕过补丁: 如果补丁不起作用并且发现了旁路, 我们会想要走得快一点, 也, 确保有一个新的CVE ID来描述它. 回收CVE id会给漏洞管理系统带来各种麻烦.
  • 云/主办的漏洞: 云仍然很特别, 因为对SaaS产品的修复往往意味着它的结束, 有时候,事后披露没有什么价值. 然而, 仍然有可能在某些情况下,从特定云计算中吸取的教训值得讨论和提高认识(即, 用于检查IOCs和日志工件,以查看您是否已经被泄露).
  • 动能的漏洞: These vulnerabilities are special since they have direct effect on life 和 limb; think of specialized medtech, 车辆安全系统, 诸如此类. 在这些情况下, 在我们公开讨论所有的技术细节之前,我们希望有足够的时间来发布补丁.
  • 低强度的漏洞: 虽然每个虫子都是神圣而特殊的,但有些虫子比其他虫子不那么特别. 在这些情况下, 我们不会费心去协调CERT/CC(他们有很多工作要做), 我们甚至可能根本不会公开披露它们(除了私下向负责任的组织披露之外).
  • 没有负责任组织的漏洞: 有时,系统中存在没有人维护的bug——废弃软件之类的. 在这些情况下, 我们将在披露方面加快步伐, 与CERT/CC协调, 主要是因为我们没有等待修复程序被开发出来.
  • 多方面的漏洞: 如果一个bug检查了以上一个以上的框,则会应用更短的时间. So, 例如, 如果有一些被抛弃的软件现在也在被利用, 我们将在几天内发布, 而不是一个半月.

现在, 这些是我们能想到的所有情况, 他们攻击了过去十年里我在Rapid7参与过的每一个漏洞. 每次我们偏离我们的(旧)政策,都是由于这些条件中的一个或多个. 我希望这能继续下去, 我们处理心血管疾病的方式将更加可预测和舒适的每个人参与. 除了罪犯和间谍利用这些武器作恶,抱歉,不抱歉.

补丁了

如果您对这项政策有任何想法或反馈,请联系我们 cve@methodistcorner.net 我们会很高兴听到的. 或者,啧啧 me 和/或 凯特琳 直接在乳齿象上. 请注意,我们将坚持使用更精确的语言 CVD页面,因为这篇博文是 *不* 世界上最伟大的心血管疾病 这只是一种致敬.

一如既往地, 如果你需要报告Rapid7负责的漏洞, 检查我们的 安全.文本文件 查询联络详情.
顺便问一下,你有保证书吗.文本文件文件? 你应该? 它们写起来既简单又有趣,而且易于出版 RFC 9116 for the details there; publishing a note of where to contact you sure makes the job of hearing about vulnerabilities in your products 和 services a whole lot easier.