协调漏洞披露流程

CISA的CVD计划与受影响的供应商协调产品和服务中新发现的网络安全漏洞的补救和公开披露。这包括工业控制系统(ICS)、物联网(IoT)和医疗设备中的新漏洞,以及传统信息技术(IT)漏洞。CISA CVD计划的目标是确保CISA、受影响的供应商和/或服务提供商以及漏洞报告人同时披露,以确保用户和管理员及时收到明确且可操作的信息。

过程

CISA协调的漏洞披露流程包括五个基本步骤:

1收藏:CISA通过三种方式收集漏洞报告:CISA漏洞分析、监控漏洞信息的公共来源以及向CISA直接报告漏洞。收到报告后,CISA会进行初步分析,以评估漏洞的存在,并与现有报告进行比较,以确定重复项。然后,CISA将漏洞报告编目,包括当时已知的所有信息。

2分析:一旦对漏洞报告进行了编目,供应商和CISA分析师就会通过检查漏洞所代表的技术问题和潜在风险来了解漏洞。

三。缓解协调:分析漏洞后,CISA将继续与受影响的供应商合作,开发缓解措施并发布补丁或更新。

4缓解措施的应用:在可能和必要的情况下,CISA可以与供应商合作,以便受影响的最终用户有足够的时间在公开披露之前获取、测试和应用缓解策略。

5披露:与漏洞报告来源和受影响的供应商协调,CISA将采取适当措施,通过多个渠道向用户通知漏洞。CISA致力于向资产所有者和运营商披露准确、中立、客观的信息,重点关注技术补救和缓解措施。CISA将参考可用的相关信息,并在必要时纠正错误信息。

披露时间表

缓解措施制定的时间框架以及披露的类型和时间表可能会受到各种因素的影响。情有可原的情况,如积极利用、性质特别严重的威胁,或需要改变既定标准的情况,可能会导致披露时间表的改变。其他因素包括但不限于:

  • 漏洞是否已公开披露,即由研究人员发布;
  • 对关键基础设施、国家安全或公共卫生与安全的潜在影响;
  • 有效缓解措施的可用性;
  • 供应商响应能力和开发更新或修补程序的可行性;
  • 供应商估计客户获取、测试和应用补丁所需的时间。

除非漏洞报告者另有要求,否则漏洞报告者的姓名和联系信息将提供给受影响的供应商。CISA将通知漏洞报告者所报告的任何漏洞状态的重大变化,而不会泄露受影响供应商或服务提供商秘密提供的信息。

将向受影响的供应商通知任何出版计划,并根据需要与受影响供应商协商替代出版时间表。

如果供应商没有响应,或无法确定合理的补救时间,CISA可能会在首次尝试联系供应商后45天内披露漏洞,无论是否有补丁或更新可用。

CVD和脆弱性公平程序(VEP)

虽然CISA参与机构间VEP,但根据VEP章程第5.4节,CISA根据本政策收集的漏洞报告不受VEP参与者的裁决。

报告漏洞

CISA利用漏洞信息和协调环境(VINCE)作为共享和协调漏洞报告的安全方法。VINCE由我们在卡内基梅隆大学软件工程学院(SEI)的合作伙伴主办。

要报告漏洞并参与协调,您需要创建一个新的VINCE帐户或登录到现有帐户。您也可以通过提交报告而不创建或登录VINCE帐户来匿名报告漏洞。然而,匿名记者将无法参与VINCE平台内的案例讨论。

单击下面的“报告漏洞”按钮,向VINCE提交新的漏洞报告。
报告漏洞

联系我们

虽然CISA建议通过VINCE提交所有漏洞报告,但您可以选择向以下地址发送加密电子邮件central@cisa.gov使用我们的公钥

有关此主题或一般CISA的更多问题,请联系Central@cisa.gov报告异常网络活动和/或网络事件report@cisa.gov或(888)282-0870。