终端用户群体只能寄希望于安全研究员的负责任行动

今年的WannaCry勒索软件攻击，以及Equifax大规模数据泄露事件，凸显出威胁信息共享、安全研究协作和开源安全工具开发的重要性。但这些工作的开展，往往伴随着信息被滥用的固有风险。安全人员用以防御威胁的信息，可能也传到了恶意攻击者手中。

Gartner的调查显示，到2020年，安全及IT人员将能获悉99%的可利用漏洞。Equifax数据泄露事件的情况正是如此，攻击者利用的，就是流行企业平台 Apache Struts Web应用软件中的一个已知漏洞。Apache软件基金会早在3月份就发布了补丁，Equifax拥有2个多月的时间采取预防性措施，本可以最小化数据暴露风险的。

于是，这种情况下，安全研究人员可以采取什么措施，来缓解自己发现的漏洞及利用代码不被滥用呢？

安全研究人员的工作经常涉及入侵防御机制，计算机、网络或软件系统都是他们的目标。他们通过入侵，来验证某种给定攻击是否可行，并找出修复该漏洞的方法，以防漏洞被坏人利用。但是，公开研究发现和相关漏洞利用程序，也给研究人员带来了风险，他们的代码有可能被网络罪犯用于创建新的漏洞利用程序，或者集成进恶意工具中。

为最小化研究发现被滥用的风险，安全研究社区应用了2种主要的披露模式：

1. 完全披露模式

安全研究人员尽早公开新发现漏洞的细节，每个人都能获取到该信息，没有任何限制——通常是在在线论坛或网站上发布（包括用于概念验证的漏洞利用程序）。完全披露模式的支持者认为，未知漏洞的潜在受害者，应与可能利用该漏洞的攻击者一样，获取到同样的信息。

2. 负责任披露

这种模式受到大多数独立软件开发商(ISV)、计算机应急响应小组(CERT)和SANS研究所的支持。该模式采取了更为协作的方式，安全研究员将漏洞咨询报告提交给厂商，其中用截屏或代码段、相关支持证据等，描述出漏洞位置，还可能含有可重现的概念验证攻击以辅助测试解决方案。

在用尽可能安全的途径（比如加密邮件）向厂商提交了报告后，研究人员通常会给厂商留有比较合理的漏洞调查与修复时间。一旦补丁可用，或者过了披露时间线，研究人员就会公布自己所发现漏洞的分析报告。

这种模式下，CERT建议不要披露漏洞利用程序本身，因为能从利用程序获益的人数，远不及该利用程序被武器化后可能受到伤害的人数。负责任披露模式的目标，是要平衡公众知悉安全漏洞的需求与厂商做出有效响应的时间需求。尽管在“合理披露时间”上尚未达成共识，大多数安全研究人员遵从CERT建议的45天等待时间。

鉴于软件中发现的重大漏洞层出不穷，终端用户很明显只能依靠安全研究人员负责任的披露，才能限制其漏洞发现不被恶意使用的可能性。厂商漏洞奖励项目的增加，还有终端用户公司渗透测试频度的增加，也能进一步推动漏洞在公开前就被发现。

然而，发现漏洞仅仅是安全保卫战的一部分，修复漏洞才是更大的挑战。Gartner曾声称“企业改善安全的唯一最有效动作就是修复”，原因正在于此。