近两年更多台厂加入成为CVE编号管理者,涵盖网通、IC设计、安全等类型厂商

随着安全研究人员通报、披露漏洞的消息不断,设备或组件制造商为了展现对产品安全的重视,不只设立产品安全事件应变小组(PSIRT)统筹应对,近两年来,加入MITRE CNA计划、成为其合作伙伴,也成为不少企业看重的面向。

基本上,安全界普遍熟知的CVE漏洞编号,是美国MITRE通用漏洞披露计划所提出的制度,在此其中,各CVE编号其实是由漏洞编号授权单位指派,也就是CVE numbering authority(CNA)计划的成员,特别的是,在10月18日,CNA协调工作小组主席Tod Beardsley宣布,新推出CNA指导计划,希望通过成员彼此互助,带动更多企业加入。

根据MITRE CNA成员列表所示,包含国家级的CERT组织在内,目前(至11月25日止)全球已有35国、259主机构组织及企业,参与这项计划。而随着今年10月这项指导计划的推出,也意味着将有更多类型厂商、企业,能够更容易提出加入成员的申请。

而在台湾,这两年内有更多企业响应此计划。不只网通设备大厂兆勤科技(Zyxel),后续又出现两家企业,一家是IC设计大厂联发科(MediaTek),另一家是安全企业如梭时代(ZUSO Generation),还有NAS企业华芸再次重新申请加入。

以台湾企业加入MITRE CNA合作伙伴的状况来看,早年,主要是NAS企业积极参与,例如,在2017年,群晖、威联通、华芸申请加入为CNA合作伙伴,可指派自家产品的CVE漏洞编号。到了2018年,台湾计算机网络危机处理暨协调中心TWCERT/CC也申请加入,目的是为了推动台湾企业产品的安全,重视漏洞修补,并提供通报上的协助,而其权限涵盖范围较大,可负责所有台湾通信产品的CVE漏洞审核,除非被通报的台湾产品企业本身就是MITRE CNA合作伙伴。

至于闻名全球的台湾安全企业,如趋势科技及旗下漏洞通报平台ZDI,其实也早已成为MITRE CNA合作伙伴,但两者在所属国家被归类于日本,应是趋势科技为日本上市公司的缘故。

在2020年底时,台湾仅有3家组织与企业,但这两年又开始有更多企业申请参加,现在已有7家成为MITRE CNA合作伙伴。例如,去年我们报道兆勤科技(Zyxel)加入MITRE CNA计划,他们不仅是台湾上市柜公司加入的首例,该公司当时也表示,他们观察到更多国际大厂加入的趋势。

在此之后是IC芯片设计大厂联发科,他们于2021年10月时发布加入的消息、成为CVE编号管理者。根据该公司公开披露的资讯,联发科针对旗下各产品线均已设立专属PSIRT团队,加入MITRE CNA计划的主要目的,是希望更迅速掌控安全性问题,更即时完成漏洞修补。

他们还有哪些强化产品安全的作为?去年底该公司已聚焦产品安全开发流程,导入BSIMM评测机制,保护芯片设计相关软件开发过程,同时也发布了漏洞奖励计划,借助外部研究人员找出未知漏洞问题。

显然,联发科已展现积极正面看待安全事件处理的态度,并提及收到外部安全事件通报时,要落实五大步骤,包括:事件确认、修补、更新、公告与致谢。

进一步查看该公司官方网站,也可以看出成效。例如,在产品安全致谢页面,或是产品安全公告页面上,从去年1月至今,每月都有十几到二十多个漏洞的修补,定期以公开透明方式披露,而去年其CVE漏洞的指派CNA单位,主要为Android(associated with Google Inc. or Open Handset Alliance),到了2022年,我们可以发现,新指派的漏洞,已经是由联发科自己审核发布。

另一家加入MITRE CNA的企业,是安全公司如梭时代,今年5月时发布加入。较特别的是,不同于国家级CERT或厂商类型的CNA,该公司申请的是弱点研究小组(Vulnerability Researchers)的CNA,当发现各厂商产品或服务漏洞时,他们将可与厂商沟通弱点技术,并指派CVE编号。目前,全球有53个组织属于研究小组的角色,如梭时代是台湾首家申请的企业。

过去该公司曾挖掘出35个CVE漏洞并通报,其中多数为台湾企业的产品漏洞,我们从TWCERT/CC所构建的TVN漏洞公告平台,即可看到有些漏洞的通报者是如梭时代,而CVE编号是由TWCERT/CC来指派。

如今,在今年5月后,如梭时代加入CNA计划成员,这意味着,本身具备指派CVE ID的能力。该公司表示,现阶段已有挖掘出的新漏洞,只是仍处于不便公开阶段,将会依循标准漏洞政策程序披露,日后才会公开。

至于华芸,我们在去年注意到该公司竟不在CNA成员名单之列。对此,该公司表示,他们在2017年就已加入,但因为在隔年没注意到相关规范,而未定期更新与参与工作小组活动,而被MITRE取消资格。但随着2021年NAS安全问题一再被突显,促使该公司决定再次申请,并于9月底重新获得资格,隔月正式对外宣布。

无论如何,台湾有更多厂商能够取得MITRE CNA的成员资格,别具意义,而我们也观察到,在最近一个多月,全球成员增加达17个,以整体成员共259家来计算,数量增长幅度算是显著。而随着MITRE CNA指导计划的发布,对于想加入的组织或企业而言,将是更为友善,因为他们设置一专门的Google表单供申请者填写,对于既有CNA成员而言,可以申请成为指导者,提供CVE漏洞撰写的经验协助,对于想要加入的新成员而言,有望更容易联系到CNA协调工作小组,请求指导者能提供这方面的协助。

截至2022年11月29日止,成为MITRE通用漏洞披露计划的CVE Numbering Authority(CNA)合作伙伴,全球共35国、259主机构与企业参与,其中,台湾组织企业有7家,包括:群晖科技(Synology)、威联通(QNAP)、台湾计算机网络危机暨协调中心(TWCERT/CC)、兆勤科技(Zyxel)、联发科(MediaTek)、华芸(Asustor)与如梭时代(ZUSO Generation)。

近期CNA协调工作小组(CNACWG)主席Tod Beardsley宣布,将推出成员彼此互助的CNA指导计划,这也意味,如今他们也期盼借助合作伙伴之力,来扩展更多的成员加入。