在识别软件漏洞方面，供应商会拖后腿，常常不愿意加快修复速度。

漏洞管理让组织和技术供应商感到烦恼，因为漏洞可能需要数月才能修复。根据以往的经验，供应商可能需要将近一年的时间才能发布补丁。在大多数情况下，挑战在于供应商是非通信的，并且在发现漏洞时行动迟缓。

本文SCA小编将带入第一视角来为您传达一个漏洞管理专家的发现。

这项研究是一项艰苦的工作，但管理披露的过程更具挑战性。

在过去的两年中，我一直在从事Memoria项目，该项目在多个系统和设备上的TCP / IP堆栈（与连接设备通信的技术）中发现了近100个漏洞。

通常，漏洞披露至少涉及三个利益相关者：发现漏洞的研究人员，受影响的供应商，以及网络安全和基础设施安全局等机构，他们会来帮助协调响应。然而，随着相关利益相关者（已将易受攻击组件集成到自己产品中的下游供应商）数量的增加，供应链漏洞变得更加复杂。评估哪些产品会受到影响可能变得非常具有挑战性。

零紧迫感

组织明白，在合同方面，时间至关重要，为了将客户体验减少几分之一秒，会不断优化网络和软件。但是当涉及到承认漏洞并努力修复它们时，情况并非如此。

在与多达200家可能受影响的技术供应商进行了接触后，我们发现，参与活动的供应商与实际响应的数量相比，有令人难以置信的差距。曾经一次，我们的团队和合作者联系了422家供应商，其中341家没有采取任何行动，约占总数的80%。

静默修补的风险

说到修补，沉默不是金子。不幸的是，许多供应商默默地发布补丁来修复漏洞，而没有发布公共文档或为其分配CVE ID。这一直是一个问题，作为最佳实践，供应商应尽快主动发布公告。

我们在今年春季早些时候遇到了一个无声修补的例子。特定漏洞CVE-2016-20009最初由Exodus Intelligence于2016年发现，但从未分配过CVE ID。我们在2020年独立复制了此漏洞的发现，并花了数月时间与CERT / CC合作，说服Wind River（Ipnet / VxWorks的所有者）为该漏洞分配一个ID。

如果另一个安全研究团队可以独立于Exodus Intelligence发现此漏洞，那么恶意行为者也可以。当供应商默默地修补漏洞时，他们可能会让他们的客户和合作伙伴容易受到攻击。

安全研究人员非常熟悉牛顿第一定律：惯性。供应商可能需要几个月的时间才能采取行动。

根据我和我的同事的经验，通常需要至少一周的时间去与公司获得联系。一些供应商会回复我们以获取更多信息，但大多数供应商从不回复，或者在承认自己受到影响之前保持沉默数月。

具有讽刺意味的是，其中一些公司声称自己是物理安全方面的专家，因为他们销售监控系统和访问徽章。但是，他们似乎缺乏网络安全的基本知识。

透明度和协作是关键

即使供应商确实传达了漏洞，其中一些供应商也会在注册后隐藏其建议，而另一些供应商会将其公开。这种响应的方式使资产所有者难以承受，因为他们必须管理其网络上有易受攻击设备的风险。

随着组织越来越多地采用物联网设备，他们希望确信漏洞不会使他们处于危险之中。在安全性方面，易受攻击设备的制造商需要更加负责，尽其所能来加强该设备的安全性。因为他们的客户可以而且应该让他们承担责任。

虽然太多的供应商保持沉默或做得太少，但我们应该强调那些响应快并迅速采取行动的供应商。这些供应商拥有完善的产品安全团队，该团队在其公司网站上设有专门的服务。它们具有显而易见且安全的通信渠道，例如电子邮件和PKI。他们已经建立了内部流程，这些流程规定了在漏洞被披露时如何应对。这些是供应商应该效仿的好例子。

安全流程不太成熟的组织在收到安全漏洞警报时可能会感到焦虑或恐惧，因此他们需要花更多时间去了解。与安全研究人员合作使他们能够就解决方案进行协作，以缓解无法修补的易受攻击的设备（例如关键基础架构）。没有内部安全资源来完成漏洞评估尽职调查的制造商应该依靠更广泛的网络安全社区，与同行合作并共享情报。提高连接设备的安全性需要时间和耐心。（本文出自SCA安全通信联盟，转载请注明出处。）