4月13日,谷歌发布白皮书,倡议供应商提高其漏洞管理实践透明度。

作为长期支持漏洞披露与修复合作的互联网巨头,谷歌认为无穷无尽的漏洞修复“厄运循环”正在掏干防御人员和用户的精力。此外,为应对各种攻击新趋势而创建的工具似乎也对改善这种情况毫无帮助。 

想要打破这种循环,谷歌表示,需要专注保护软件开发安全,采用漏洞修复最佳实践,以及确保修复简单易行。为此,供应商应了解漏洞的根源并实施完整的修复。

“重视根源分析,行业、政府和最终用户就能跳出不断重复的漏洞响应循环。”

谷歌表示,不仅仅是零日漏洞,只要没修复,漏洞就会带来巨大风险,削弱企业和最终用户的安全态势。所有供应商都应该关注修复频率、自动修复和补丁的分发方式((作为独立补丁还是系统更新的一部分)。

“零日漏洞的恶名常见诸报端,但真相是,即便披露且修复之后,风险依然存在。此类风险涵盖了OEM采用滞后、补丁测试痛点、最终用户更新问题等各个方面。

考虑到2022年发现的很多遭利用零日漏洞都是此前已修复但修复不完整的安全缺陷的变体,谷歌还呼吁供应商更加重视确保全面解决风险。

此外,谷歌的白皮书强调,行业应努力降低客户进行补丁测试和实现的难度,否则企业可能会延后采用那些难以应用的补丁。行业还应该采取更全面的策略来解决产品生命周期问题。

谷歌指出:“产品应附上有关预期寿命(包括到期日)的策略,以及针对下游客户的支持与通知模式。”

在13日发布的白皮书中,这家互联网巨头提到了“黑客政策委员会”(Hacking Policy Council)的成立,这是一个由决心改善用户安全的组织及领导者组成的小组,是倡导漏洞管理与披露最佳实践的第一步。

谷歌还呼吁供应商和政府在漏洞利用与修复方面更加透明,从而支持全生态系统缓解措施的开发,尤其是在有些供应商悄悄发布安全补丁而不将已发现缺陷通告社区的情况下。

谷歌倡议:“供应商应让用户、供应链合作伙伴和社区知晓漏洞利用情况,并通过公开披露和直接联系尽可能地及时通知受害者。应共享关于漏洞和漏洞利用的更多细节,从而提升研究人员的知识和防御。”

谷歌表示,提高透明度可确保用户更快应用缓解措施,并“帮助行业和政策制定者了解挑战的范围,摸清行业是否在这一领域真正有所改善。”然而,新政策不应迫使企业过度报告事件,而应根据其对安全的影响进行评估。

谷歌认为,设立法律框架来更好地支持漏洞猎手是推进这一生态系统的另一关键点,可以通过这些法律框架来区分出于防御目的的研究和恶意活动,但不强迫研究人员在通知供应商之前向政府通报已发现缺陷。

“我们认为,无论背景如何,任何人都应该能为漏洞研究做出贡献。归根结底,漏洞报告就是信息,企业不应限制自身从社区接收有用信息的能力。”谷歌表示。

4月13日,这家互联网巨头宣布,将为“安全研究法律辩护基金”提供种子资金,该基金旨在保护面临法律威胁但无法获得法律顾问的诚信安全研究人员。

谷歌表示:“要在这些问题上取得进展,需要行业、研究人员、用户和政府等利益相关者之间精诚合作:行业开发的平台和服务是攻击者试图利用的目标;研究人员不仅能发现漏洞,而且可以识别和推动缓解措施,封堵整条攻击途径;用户仍然承担着过重的安全负担;而政府可以设立激励机制,塑造所有其他相关人员的行为。”