4000-559-590

全部资讯

白帽子们要注意企业邮箱安全漏洞

发表时间: 2021-08-27 16:12:17

作者: 泽群

浏览:

不管是个人还是组织,如果找到了哪家安全厂商的产品漏洞,不论是从维护整个网络安全产业秩序的角度出发,企业邮箱还是从个人保护自己的角度出发,都建议大家按照《网络安全漏洞管理规定》,依法披露漏洞。

最近网安圈有白帽子频繁以个人名义披露各家厂商企业邮箱的安全漏洞,着实为各家厂商以及安全从业人员敲响了警钟。反观整个事件,我们换个角度,漏洞真的是以个人或者组织名义想报就能报的吗?


先抛出我们的观点,不管是个人还是组织,如果找到了哪家安全厂商的产品漏洞,不论是从维护整个网络安全产业秩序的角度出发,企业邮箱还是从个人保护自己的角度出发,都建议大家按照《网络安全漏洞管理规定》,依法披露漏洞。 从维护整个网络安全产业秩序,共建和谐社会的角度来看。安全产品需要维护,不断更新和迭代以适应不断变化的网络安全环境。企业邮箱技术的发展使得安全攻防随之升级,这个过程难免会发现漏洞。一般而言,厂商在知道了自己有漏洞的前提下,一定会第一时间组织力量修复漏洞,维护用户安全。



试想下如果在没有通知 CNVD 和厂商的角度下,私自暴露漏洞,黑客可能会第一时间利用漏洞进行对用户的攻击,给用户和整个社会直接带来损失。这个一定是我们不想看到的。 从保护个人的角度,在未通知厂商的前提下披露漏洞的行为,本身就已经违反了《网络安全漏洞管理规定(征求意见稿)》,笔者了解到,其实多部委一直在共同协商,不断完善相关法律条款,管理这类行为。由于漏洞披露导致了部分用户被黑客攻击,进而造成用户的巨大损失,漏洞的违法披露者是难辞其咎的。所以建议广大的白帽还是要学会保护自己,依法披露企业邮箱漏洞。 网络安全漏洞披露已成为网络安全风险控制的中心环节。

不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显出法律规定的灰色地带。同时,国内外不同主体基于不同动机和利益驱动,开展了广泛的网络安全漏洞披露实践,并已经引发各方对不利法律后果的反思。 



Q1:最近关于漏洞披露问题讨论很多,关于漏洞相关的披露机制是怎样的? 

A1:一般情况下,当发现一个漏洞之后,可以先上报国家信息安全漏洞共享平台 CNVD(China National Vulnerability Database,),CNVD 通知厂商需要在 90/10 天内修复,厂商采取漏洞修补或防范措施后再予以公开,这样能最大程度的保护用户的安全,同时促进整个行业有序发展。如果发现漏洞而没有上报 CNVD,而是直接披露,这是有一定风险和隐患的。 


Q2:漏洞披露有哪几种类型,原则是什么? 

A2:常见的披露类型主要有不披露、完全披露、负责任的披露和协同披露四种。 漏洞被发现后,就进入了漏洞披露阶段。漏洞发现者有可能不披露漏洞,对安全漏洞的相关信息完全保密,既不报送给厂商,又不向公众公开这就是不披露。与此相反,漏洞发现者也可能公开完全披露相关的漏洞信息,未事先对厂商进行告警,厂商没有充分的时间修复漏洞,漏洞信息也直接暴露给了潜在的恶意攻击者,这就是完全披露,也被称作不负责任的披露。 漏洞发现者先报送漏洞,待厂商修复漏洞后,厂商再公告相关漏洞信息并发布补丁,这就是负责人的披露。当然,实践过程中漏洞发现者和厂商也可能存在争议。在负责任披露的基础上,引入了协调者,协调者通常在各方利益相关者之间扮演信息传达或信息经纪人的角色,这就是协同披露。 原则上,一般采用的是负责任的披露。协同披露强调漏洞信息的共享,各方的协同合作,更为有利于保护网络安全。 



Q3:漏洞披露违规存在什么样的风险? 

A3:首先是用户安全风险。 违规披露漏洞,会导致漏洞传播。许多知名的开放社区都是零门槛的,很多黑客也埋伏在其中,这就导致了漏洞被公开后的一段时间内容黑客活动激增。在厂商发布漏洞补丁和用户更新之前,这样的安全风险是难以把控的。一个著名的例子就是 Mirai 僵尸网络,该僵尸网络在 2016 年攻击了美国的物联网设备,使美国多个城市的互联网瘫痪。实际上最初,它是用于对 Telnet 的嵌入式监听设备进行暴力攻击。后来,Mirai 源代码被发布到开源社区,产生了模仿版本,用于对通过 SecureShell(SSH) 的监听硬件进行暴力攻击。直到今年,Mirai 变体仍然对嵌入式 Linux 系统构成持续不断的威胁。 其次是法律风险。安全从业人员违规披露漏洞,不仅破坏了行业规则,也给自己带来了法律风险。《中华人民共和国网络安全法》规定,开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。根据《网络安全漏洞管理规定(征求意见稿)》的规定,第三方组织或者个人不得在网络产品、服务提供者和网络运营者向社会或用户发布漏洞修补或防范措施之前发布相关漏洞信息,不得发布和提供专门用于利用网络产品、服务、系统漏洞从事危害网络安全活动的方法、程序和工具。2017 年,网易 SRC 指责白帽子违反漏洞测试原则,在未经网易及 NSRC 授权的情况下,擅自公开披露漏洞细节,让广大网易产品用户置于潜在的风险中,强调违刑必究。 


Q4:漏洞披露者如何避免法律风险? 

A4:需要遵守相关法律法规,按照规范化流程进行。 一般是先上报 CNVD,CNVD 通知厂商在 90/10 天内修复,再对漏洞进行披露。漏洞的报送和披露,国内基本形成国家安全漏洞库,第三方漏洞平台和企业 SRC 或 PSIRT 并存的结构。像这次事件的深信服,对漏洞检测也是持开放态度,国内不少企业机构都对漏洞发现者予以奖励。 网络安全漏洞披露集结了政府部门、产品和服务提供者、第三方研究机构、网络安全服务机构、用户、黑客或「白帽子」等多方利益相关者及其协调关系,所有利益相关者均应肩负起应有的法律责任,共同推动网络社会的有序运行。 互联网空间始终不是法外之地,尤其是当我们进入万物互联时代,任何举措都可能对用户、企业、市场造成影响。所以这也要求每一个人,遵守规则,尊重法律法规,共同维护网络空间的安全和谐。未来,我们也希望,随着法律、法规的进一步健全,随着网络安全市场的成熟,代表网络正义的「白帽子」们,也将发挥更大的力量。


白帽子们要注意企业邮箱安全漏洞
不管是个人还是组织,如果找到了哪家安全厂商的产品漏洞,不论是从维护整个网络安全产业秩序的角度出发,企业邮箱还是从个人保护自己的角度出发,都建议大家按照《网络安全漏洞管理规定》,依法披露漏洞。
长按图片保存/分享
 
以客户的口碑塑造征帆品牌

关于我们


深圳市泽群信息技术有限公司成立于2009年5月4日,是一家专注网站建设、网站SEO优化、电商系统、小程序开发及网络推广及运营为一体的高新技术企业。总部位于科技之都的深圳.龙华,公司技术研发实力雄厚,旗下拥有多个自主知识产权软件,被评定为国家高新技术企业。

我们的优势

13年建站服务经验

服务3000多家企业

营销型网站建设专家

B2C营销型网站建设供应商

网页设计与网站开发技术并重

我们的不同

作为一家集“创意+整合+营销”的深圳网站建设营销机构,我们在业内具有一定的设计影响力和良好的客户口碑。泽群提供从前期的网站品牌分析策划、网站设计、创意表现、网页制作、系统开发以及后续网站运营推广等一系列服务,帮助企业打造创新的互联网品牌经营模式与有效的网络营销方法,创造更大的品牌势能!

公司地址:深圳市龙华区龙胜恒博国际4楼     联系电话:4000-559-590

Copyright @ 2009~2021   深圳市泽群信息技术有限公司       版板所有   粤ICP备11024359号     

专家团队为您提供深圳网站建设,深圳网站设计,深圳品牌网站设计,深圳营销型网站制作,商城网站建设,小程序开发,网站SEO优化,网站推广等服务,深圳网站建设就找泽群!

热线电话
4000-559-590
上班时间
周一至周五
E-mail地址
sales@zequninfo.com
二维码
二维码
添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了