ASD揭示了保密漏洞的規(guī)則
當(dāng)澳大利亞的信號情報機(jī)構(gòu)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞時,它會披露它 - 除了在少數(shù)幾個可能有助于實現(xiàn)“關(guān)鍵情報要求”的情況下。
澳大利亞信號局(ASD)已悄然公布其決定何時保密網(wǎng)絡(luò)安全漏洞知識的流程。
特色
網(wǎng)絡(luò)戰(zhàn)與網(wǎng)絡(luò)安全的未來
今天的安全威脅范圍和嚴(yán)重性都在擴(kuò)大。當(dāng)信息安全得不到妥善處理時,現(xiàn)在可能有數(shù)百萬甚至數(shù)十億美元的風(fēng)險。
閱讀更多
這是第一個官方承認(rèn)ASD可能不會披露它發(fā)現(xiàn)的所有漏洞。但是,秘密漏洞的知識一直是該機(jī)構(gòu)進(jìn)攻性網(wǎng)絡(luò)運(yùn)營工具包的重要組成部分。
網(wǎng)絡(luò)安全漏洞的負(fù)責(zé)任發(fā)布原則文件于周五發(fā)布在ASD的網(wǎng)站上。
該政策強(qiáng)調(diào),該機(jī)構(gòu)在發(fā)現(xiàn)缺陷時的起始位置是披露它并與供應(yīng)商合作,以確保補(bǔ)丁在公布之前可用。
“然而,有時,安全漏洞將為獲取有助于保護(hù)澳大利亞人的外國情報提供新的機(jī)會。在這種情況下,不披露漏洞可能會更好地為國家利益服務(wù),”該政策寫道。
“保留漏洞的決定永遠(yuǎn)不會掉以輕心。只有經(jīng)過仔細(xì)的多階段專家分析才能做出決定,并且需要經(jīng)過嚴(yán)格的審查和監(jiān)督。”
此外:Cyber?? blitzkrieg取代了網(wǎng)絡(luò)珍珠港
ZDNet理解這不是一個新的決策框架,而是一個已經(jīng)以各種形式運(yùn)行了一段時間的框架。作為ASD總干事邁克·伯吉斯(Mike Burgess)將該機(jī)構(gòu)“擺脫陰影”并消除其存儲大量零日攻擊的概念的一部分,它被公之于眾。
關(guān)鍵的決策原則是,基于“關(guān)鍵情報要求”的存在,保護(hù)脆弱性的國家利益必須大大超過披露它的國家利益。
“如果這種弱點允許我們收集可以防止恐怖襲擊的外國情報,這可能會發(fā)生,”政策說。
ASD還考慮保留漏洞是否存在惡意行為者利用弱點的風(fēng)險,以及可能需要采取哪些預(yù)防性措施來保護(hù)澳大利亞的利益。
新發(fā)現(xiàn)的漏洞首先由由工作級技術(shù)專家組成的Equity Steering Group進(jìn)行評估。ZDNet了解ASD的網(wǎng)絡(luò)安全和攻擊性網(wǎng)絡(luò)操作方面都有代表,并且討論可以很強(qiáng)大。
如果該小組建議應(yīng)保留一個漏洞,則由平等委員會考慮由高級行政人員的薪酬等級組成的人員。
請參閱:ACSC收緊澳大利亞政府系統(tǒng)的訪問控制
保留脆弱性的決定每季度由總干事審查,每年由獨立的情報和安全監(jiān)察長(IGIS)審查。向IGIS簡要介紹IGIS是一項令人生畏的經(jīng)歷。
12個月后還會審查每個漏洞的保留情況。
ZDNet了解到,在此評估和審核流程結(jié)束時,為ASD使用保留的漏洞數(shù)量非常少,這一數(shù)量不會被稱為“倉儲”。
相關(guān)覆蓋范圍
澳大利亞華為禁止“解決”問題:佩恩
Marise Payne說,澳大利亞做出了主權(quán)決定。其他國家將自己創(chuàng)造。
澳大利亞應(yīng)該為議會網(wǎng)絡(luò)攻擊者命名
如果對澳大利亞政府機(jī)構(gòu)進(jìn)行如此明顯的攻擊,我們應(yīng)該隨時準(zhǔn)備指責(zé)并對對手施加一些實際成本。
澳大利亞網(wǎng)絡(luò)主機(jī)遭遇狂躁動物惡意軟件
犯罪分子利用受損的網(wǎng)絡(luò)托管服務(wù)器挖掘加密貨幣,并將廣告和搜索引擎優(yōu)化工具插入客戶網(wǎng)站。
ACSC會召開年度會議,與AISA合作開展網(wǎng)絡(luò)活動
澳大利亞的網(wǎng)絡(luò)安全機(jī)構(gòu)加入了該國網(wǎng)絡(luò)專業(yè)人士的最高機(jī)構(gòu),通過政府的聯(lián)合網(wǎng)絡(luò)安全中心提供發(fā)展計劃。
澳大利亞政府在部署DMARC電子郵件欺騙預(yù)防方面落后于英國
DMARC電子郵件身份驗證可以顯著降低網(wǎng)絡(luò)釣魚攻擊的風(fēng)險,但只有5.5%的澳大利亞主要政府域名部署了它。這將改變。
澳大利亞的加密法律“極不可能”將員工秘密告知
放松,開發(fā)商,“援助和獲取法案”“極不可能”迫使員工通過創(chuàng)建秘密后門來欺騙他們的老板。它也不違反歐洲的GDPR數(shù)字隱私法。