一直以来,这类问题都是突然出现的,但也有相当简单的,根据这些迹象你就能发现问题所在。如果大量守法公民看起来在了解漏洞方面似乎都不是十分精通,而小部分不法分子却精通,那么你可能必须将发现公之于众。如果这一攻击后果相当明显(我认为GPS欺诈也属此类),不法分子将会想方设法采取行动。因此,再重申一次,你必须将发现公之于众。而另一方面,如果它是一种并未得到很多人使用的专业安全设备,而大量潜在不法分子可能想要攻击它,那么也许你并不必公开这一漏洞,你只需要找出它所针对的终端用户,向他们指明潜在问题即可。漏洞泄露索引(VDI)是一种半定量尝试,就你是否应披露这一漏洞、以何种方式公开以及你应披露多少细节会为你提供一些指导。
Johnston的索引真正针对的是物理安全。IT安全则属于完全不同的领域。让我们假设一下,你正在玩电脑,突然发现了一个非常严重的软件漏洞。多数人赞成你采取以下行动: 联系软件公司,并告之“我认为这里存在一个问题”,为他们提供一个修复这一漏洞的机会。如果过了一段时间,他们仅在进行讨论而未采取任何措施,那么可能你就必须将这一问题公开。一旦他们修复这一问题,也就不会有大影响了。毕竟,每个购买这一产品的人通常会检查一下产品是否有升级功能。
而物理安全则并不是如此。在许多情况下,物理安全系统都是来自于许多不同供应商,而且极可能还是由第三方供应商组装而成。通常,没有一家公司会对潜在漏洞进行投诉。此外,修复方式不只是一些软件下载,可能需服务人员出动,更换一些零件,因此它可能是非常昂贵且具破坏性的。在你让每个人都注意到一个物理安全漏洞时,你可能先要考虑一下这种方式对于修复这一问题是否实用。
当漏洞评估工作得到赞助时,赞助人可拥有发现的成果,但这也未必就表示漏洞评估员可以不警告他人。这点可能让那些想要雇人进行漏洞评估的CSO有些担心害怕,从而想要用一纸合约来确保评估结果依然为私人所有。举个例子吧,假设一家公司正考虑采用一款商用安全设备,假设我们对这款设备做了一次漏洞评估,可如果企业用一纸合约就可横加干涉,那么评估结果将起不到什么作用。我们知道商用设备一直被用于包括企业安全、美国国家安全以及核保障在内的各种应用中。我们相信我们负有道义上的责任,应告诉人们可能存在的问题。对于我们的这种处理方式,与我们合作过的大多数公司都未有任何异议;在一些案例中,甚至有一些企业是鼓励我们这样做的。
(c112)
|
服 务 CIO 推 进 信 息 化 
