加强网络安全的欧洲新规

主要要点

欧洲联盟提议的新规意在加强组织的漏洞披露程序VDPs，作为《欧盟网络韧性法案》CRA的一部分。CRA要求软件制造商在发现被积极利用的漏洞后24小时内向欧洲网络安全机构ENISA报告。仅有24小时的响应时间使得在通知时许多漏洞未必能够得到修复，增加了被恶意攻击的风险。专家组已就此问题向欧盟委员会和欧洲议会提交公开信，呼吁重新考虑VDP的要求。

欧洲联盟最近提出的新规，旨在通过加强漏洞披露程序VDPs，提升网络韧性。这项提案是《欧盟网络韧性法案》CRA的组成部分，试图将良性黑客纳入到网络防御战略中。尽管这一政策的现代化带来了积极的变化，但CRA也存在缺陷。

根据CRA，软件制造商必须在发现被主动利用的漏洞后的24小时内，通知欧洲网络安全机构ENISA，并由ENISA将信息分发给所有欧洲CSIRT和市场监管机构。然而，在软件开发过程中，24小时的时间对于修复、测试和部署软件补丁来说并不充裕，这意味着许多被纳入法案范围的漏洞在通知时仍然未能修复。这将使得数十个政府机构获得一个实时数据库，包含未得到修复的漏洞，迅速披露过程可能导致广泛的漏洞知识被恶意势力利用。

为引起对此问题的关注，我与其他网络安全专家组成的团队于10月3日向欧盟委员会和欧洲议会发送了公开信，表达我们的担忧。信中指出，CRA的VDP要求可能带来几个潜在风险，包括：

风险类别描述暴露于恶意攻击者的风险政府持有的漏洞被滥用并不是理论威胁，历史上已有不少受到良好保护的实体遭遇此类情况。CRA并不要求组织提供完整的技术评估，但即便是漏洞存在的知识，熟练的人也足以重构漏洞。对良性研究者的寒蝉效应过早披露漏洞可能会妨碍软件发布商与安全研究者之间的协调与合作，研究者通常需要更多时间来验证、测试和修补漏洞。CRA可能削弱制造商对于来自研究者的漏洞披露的接受度。漏洞信息的滥用缺乏对通过CRA披露的漏洞的进攻性使用限制，以及几乎所有欧盟成员国缺乏透明的监督机制，可能导致信息潜在滥用。

我们专家团体主张采取一种负责且协调的披露过程，以平衡透明度与安全性。我们建议CRA采取基于风险的漏洞披露方法，考虑漏洞的严重性、缓解措施的可用性、对用户的潜在影响以及更广泛利用的可能性等因素。

信中警告说，机构应明确禁止利用或共享通过CRA披露的漏洞用于情报、监视或进攻性目的。我们还建议，报告漏洞的时间应在缓解性软件补丁发布后延长至72小时。

小火箭流量购买

最后，我们强调CRA“应当不要求报告通过良性安全研究利用的漏洞。与恶意利用漏洞不同，善意的安全研究并不构成安全威胁。”

随着道德黑客在全球漏洞披露策略中扮演越来越关键的角色，强制过早披露只会削弱企业、政府和消费者的安全态势。过去十年，良好的安全研究者通过提供软件、服务和基础设施的安全可见性，保护了我们免受网络犯罪的威胁。如果强制过早通知，将会设立一个危险的先例，对我们的隐私和数据安全造成不可接受