CISA:公共研究人员去年向联邦政府报告了1300个“有效”漏洞 媒体
政府漏洞披露政策的进展与成果
关键点总结
新平台启动:网络安全和基础设施安全局CISA两年前启动了一个漏洞披露政策平台,以集中管理联邦政府的漏洞报告。成果表明:截至去年底,该平台已加入40个不同的机构项目,总共收到4091个独特提交以及1330个有效的漏洞报告,85的漏洞已得到补救。社区参与:CISA与外部安全研究人员的合作显著提升了对联邦系统安全漏洞的认识。两年前,网络安全和基础设施安全局CISA为了集中管理联邦政府的漏洞报告,推出了一项新的漏洞披露政策平台。该平台允许外部安全研究人员安全且合法地检查某些联邦系统和网站,并将问题反馈给政府。

最近,该网络防御机构在一份新报告中发布了该计划的一些成果,宣布漏洞披露政策VDP已接入40个不同的机构项目,并在去年底前从公众那里收到了超过4091份唯一提交及1330个有效的漏洞报告。这些报告中,有192个被归类为“关键”,92个为“严重”,757个为“中等”,299个为“低”。
CISA表示,1119个大约85的漏洞迄今已得到补救,机构平均需要38天来修复或处理通过该程序报告的缺陷。这一时间框架与CISA此前的指令中要求的,在报告后30天内解决“关键”漏洞的时限基本一致。
“自推出以来,VDP平台参与机构和披露漏洞的数量大幅增长,”报告指出。“随着更多机构参与VDP平台,CISA对FCEB漏洞的洞察变得更加全面,从而更有效地保护网络并优先处理补救措施和资源。”
通过该程序发现的最常见缺陷类型包括跨站脚本、服务器配置错误、因加密弱或未安全保护的web应用程序造成的数据泄露以及服务器端注入等。
在2021年宣布该计划时,CISA执行助理主任Eric Goldstein曾估计,该努力可能为政府节省超过1000万美元。尽管报告未提供任何具体的衡量标准,但声称VDP为机构在漏洞缓解方面提供了“显著的时间和成本节省”。
在回应SC Media的提问时,CISA发出了网络安全共享服务主管Jim Sheire的声明,未提供具体的最新成本节省数字,只提到CISA的验证和分类服务为“机构节省了大量时间和资源”,并避免了每个机构设立独立漏洞披露计划的需求,“这可能使每个机构每年花费数十万美元来单独设计、采购、部署和维护”。
蜜蜂加速器永久版Sheire还表示,未被列为已整改的剩余15的漏洞“在补救进行时通过补救控制措施进行了处理”。
VDP还能够为特定机构和事件派生出独特的漏洞赏金计划这类活动吸引安全研究人员为系统破解过程提供经济奖励。报告中提供的两个例子是“黑客国土安全部”Hack DHS,这是一个针对国土安全部的三部分漏洞赏金活动,发生在2022年,以及在Log4J漏洞曝光后的36小时内推出的特定漏洞赏金事件。
尽管CISA未提供Log4J事件的具体数字,但表示“黑客国土安全部”共邀请了726名外部安全研究人员,发现了235个漏洞其中40个被视为关键,并奖励了329900美元的奖金。
CISA热衷于展示使用该程序