
軟件漏洞領域瞬息萬變,新的披露層出不窮。最近一份報告強調了流行軟件組件中的眾多漏洞,突顯了安全問題的持續更新。傳統的漏洞資料庫長期以來一直是漏洞資訊的「大教堂」,而現在由各種 CVE 編號機構 (CNA) 和漏洞懸賞計劃組成的「市集」則提供了替代且有時不同的來源。這個不斷演變的生態系統,尤其是漏洞懸賞,正在經歷快速變化,為資訊安全長 (CISO) 和安全工程師帶來了新的挑戰。
發生了什麼事
一個反覆出現的事件模式是,漏洞懸賞獎金因範圍模糊而產生爭議。研究人員識別並報告了一個漏洞,認為它在計劃定義的參數範圍內,並值得獲得獎勵。然而,託管懸賞的組織卻不同意,理由是該發現超出預期範圍或不符合獲得獎金的嚴重程度標準。這可能導致曠日持久的討論、研究人員的沮喪,以及計劃聲譽受損。
考慮這樣一個情景:一個平台為關鍵漏洞提供豐厚獎勵,可能達到可觀的數字。如此高的利害關係自然吸引了高水平的研究人員。例如,如果研究人員發現了一個業務邏輯缺陷,即用戶可能操縱流程以獲取不應得的利益,那麼對此缺陷的分類就變得至關重要。這是一個定義範圍內的真實業務邏輯缺陷,還是一個未明確涵蓋的邊緣情況?
漏洞懸賞範圍定義的模糊性可能是爭議的重要來源,並會侵蝕這些計劃旨在建立的信任。
為什麼這種模式會不斷重複
這種模式持續存在的一個主要原因是,精確定義複雜系統的範圍本身就具有困難。組織努力「保持在範圍內」以將風險降至最低,但現代軟件的廣度往往使全面的範圍文件難以實現。此外,漏洞度量(例如攻擊複雜性、用戶互動和影響)的評估,即使在已建立的 CNA 之間也經常出現差異。這種「自我差異」,即相同的 CVE 文本描述被同一個 CNA 評為不同的級別,突顯了漏洞評估的主觀性,這種主觀性在漏洞懸賞計劃中得到了放大。
激勵結構也起著作用。研究人員受到獲得豐厚獎金的潛力所激勵,尤其是針對關鍵發現。當一個計劃為關鍵漏洞提供最高的獎勵時,對於尋求獎勵的研究人員和試圖管理其安全預算的組織來說,利害關係都很大。當範圍不明確時,這種財務壓力會加劇爭議。
攻擊者的逐步策略
在這種情況下,攻擊者是一位在模糊的懸賞計劃中探索的漏洞懸賞獵人。他們的策略通常包括:
- 初步偵察和範圍審查: 研究人員徹底審查計劃的範圍文件,尋找任何明確的包含或排除事項。他們試圖了解目標的功能,例如處理複雜金融工具的平台提供的功能。
- 漏洞識別: 然後,他們識別一個潛在的漏洞,通常是業務邏輯缺陷或邊緣情況,他們認為這可能會產生重大影響。這可能涉及測試與金融交易或用戶身份驗證相關的功能,這些功能存在大規模損失或未經授權訪問的可能性。
- 影響評估和嚴重性判斷: 研究人員試圖展示盡可能高的影響,使其發現與計劃的嚴重性定義相符。例如,他們旨在證明他們的發現如何導致資金未經授權的轉移或未經授權的控制,這將其歸類為關鍵。
- 報告和文件: 提交一份詳細的報告,通常附有概念證明 (PoC) 來演示漏洞。報告仔細論證了該發現為何在範圍內並符合高獎勵的標準。
- 談判和爭議: 如果組織的初步評估不同,研究人員將進入談判階段,為其主張提供進一步的澄清和理由。這就是範圍模糊成為爭議關鍵點的地方。
防禦者錯過了什麼
在這種情況下,作為漏洞懸賞計劃主辦方的防禦者,經常會錯過幾個導致這些爭議的關鍵方面。
首先,他們未能提供足夠詳細和明確的範圍定義。籠統的陳述或廣泛的類別留下了太多的解釋空間。特別是對於業務邏輯缺陷或邊緣情況,明確指出什麼是和不是在範圍內的具體例子經常缺失。
其次,內部漏洞評估和獎勵分類流程可能不一致。如果連已建立的 CNA 在評估漏洞方面都存在「自我差異」,那麼一個組織的內部團隊也很可能存在不同的解釋。這種不一致可能導致對有效發現的任意拒絕或降級。
最後,缺乏清晰的溝通渠道和透明的爭議解決機制加劇了問題。當研究人員覺得他們的合法發現被不公平地駁回,並且沒有明確的上訴或調解途徑時,挫敗感會增加,並可能爆發公開爭議。
實用的防禦檢查清單
為了減少漏洞懸賞範圍的爭議,資訊安全長 (CISO) 和安全工程師應實施以下措施:
- 細緻的範圍定義: 提供資產群組、功能和攻擊面的明確細節。清晰列出具體的排除項和超出範圍的行為。
- 基於場景的範例: 包含在您的特定環境中構成關鍵、高、中和低嚴重性漏洞的具體範例。
- 預定義的業務邏輯缺陷: 記錄被認為在範圍內的常見業務邏輯缺陷或邊緣情況,以防止圍繞複雜互動的模糊性。
- 透明的嚴重性矩陣: 發布一個清晰、客觀的嚴重性矩陣,其中包含影響和可能性的具體標準,以最大限度地減少主觀解釋。
- 專門的爭議解決機制: 建立一個正式的、有文件記錄的流程,供研究人員對有爭議的發現提出上訴,確保公平和透明。
- 定期範圍審查: 定期審查和更新漏洞懸賞範圍,以反映應用程式、基礎設施和威脅環境的變化。
- 與研究人員社群互動: 向值得信賴的研究人員徵求關於您的計劃範圍清晰度和全面性的反饋。
現代進攻性測試如何發現這個問題
傳統的漏洞懸賞計劃雖然有價值,但依賴於人類的智慧和解釋。現代進攻性測試,特別是帶有可執行 PoC 的自主進攻性測試,提供了一種更具確定性的方法,可以預防這些範圍爭議。我們的平台提供測試授權,實現持續、自主的進攻性測試。這意味著可以主動識別漏洞,包括可能落入模糊範圍領域的細微業務邏輯缺陷或邊緣情況。
透過為已識別的弱點生成可執行概念驗證 (PoC),我們的平台消除了模糊性。PoC 客觀地證明了漏洞的存在和影響,幾乎沒有留下任何關於其有效性或嚴重性的爭議空間。這將重點從解釋轉移到修復,確保在安全問題成為漏洞懸賞計劃中的爭議點之前得到解決。它提供了一種清晰、機器驅動的評估,補充並加強了以人為中心的安全工作。
接下來要注意什麼
漏洞懸賞不斷演變的性質表明,這些計劃將繼續快速變化。我們應該預期組織在定義範圍和分類漏洞方面將進一步完善。系統日益複雜,例如涉及先進金融機制的系統,將要求安全評估更加精確。此外,不同評估機構之間漏洞度量的差異表明,漏洞嚴重性標準化面臨持續挑戰。組織必須密切關注這些趨勢,不斷完善其漏洞懸賞計劃,並整合先進的進攻性測試方法,以確保其安全態勢保持穩健,並與研究人員保持積極的關係。

