wechatimg030107

特朗普政府发布新 VEP 机制,以防国家组织私自 “库存” 漏洞

  • 浏览次数 6151
  • 喜欢 0
  • 评分 12345

据外媒 ZDNet 报道,美国白宫网络安全协调员罗伯·乔伊斯(Rob Joyce)于本周三在华盛顿特区出席活动时宣布,特朗普政府已发布一套非机密规则来更新 Vulnerabilities Equities Process(VEP)机制,以平息舆论中政府大量 “库存” 漏洞发起黑客攻击的虚假谣言。

VEP 是奥巴马就任时所发布的一套复杂而重要的保密机制,决定了美国政府在发现漏洞后衡量是否秘密通知受影响的科技公司,并提醒其产品或服务存在漏洞,以便黑客入侵前迅速修复。

今年早些时候,神秘黑客组织 “影子经纪人”(Shadow Brokers)通过窃取 NSA 存储的漏洞开展了大规模勒索软件 WannaCry 攻击活动,感染了全球 150 多个国家逾 30 万台电脑。随后,特朗普政府遭到指责并在 NSA 黑客工具被窃不到一年内更新了该份报告。知情人士透露,这一举措能够防止政府私自储存漏洞、黑客工具或网络武器,并被认为是美国政府所公布的一项极其罕见的行为,因为该机制自奥巴马执政以来一直处于保密状态。

nsa

据悉,美国此前在奥巴马的领导下成立了多机构审查委员会,以权衡情报机构发现漏洞后是否应该私下向科技公司披露。然而,批评人士认为,美国政府极有可以通过储存漏洞致使个人或商业网络处于危险之中。但乔伊斯近期在一篇博客中表示,一个政府执法的透明程度对于国家来说至关重要,其此次 VEP 机制的更新可以重建商务、国防、特勤、财政等各组织的信心。值得注意的是,最新公布的条例显示,如果国会决定尚不披露漏洞,其相关人员必须每年都要重新评估该项决策。另外,乔伊斯重申,超过 90% 的漏洞政府都会向受影响公司披露,但不会说这是一个直接或最终的过程。

wechatimg1456

多年来,网络安全部门一直呼吁政府能够公布 VEP 机制的具体细节,因为他们认为政府实施的行动要比公开披露的事情多得多。例如:美国国家安全局并非只是负责发现漏洞,其报告显示该机构曾在过去一年内花费了2500万美元从第三方购买了之前并未公开披露的漏洞细节。近期,政府将发布一份年度报告,旨在提供有关 VEP 工作的相关信息。

附:特朗普政府官方报告《 Vulnerabilities Equities Policy and Process for the United States Government

原作者:Zack Whittaker,译者:青楚 
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot