当澳大利亚的信号情报机构发现网络安全漏洞时 它会披露它 除了在少数几个可能有助于实现关键情报要求的情况下

ASD揭示了保密漏洞的规则

当澳大利亚的信号情报机构发现网络安全漏洞时，它会披露它 - 除了在少数几个可能有助于实现“关键情报要求”的情况下。

澳大利亚信号局(ASD)已悄然公布其决定何时保密网络安全漏洞知识的流程。

特色

网络战与网络安全的未来

今天的安全威胁范围和严重性都在扩大。当信息安全得不到妥善处理时，现在可能有数百万甚至数十亿美元的风险。

阅读更多

这是第一个官方承认ASD可能不会披露它发现的所有漏洞。但是，秘密漏洞的知识一直是该机构进攻性网络运营工具包的重要组成部分。

网络安全漏洞的负责任发布原则文件于周五发布在ASD的网站上。

该政策强调，该机构在发现缺陷时的起始位置是披露它并与供应商合作，以确保补丁在公布之前可用。

“然而，有时，安全漏洞将为获取有助于保护澳大利亚人的外国情报提供新的机会。在这种情况下，不披露漏洞可能会更好地为国家利益服务，”该政策写道。

“保留漏洞的决定永远不会掉以轻心。只有经过仔细的多阶段专家分析才能做出决定，并且需要经过严格的审查和监督。”

此外：Cyber​​ blitzkrieg取代了网络珍珠港

ZDNet理解这不是一个新的决策框架，而是一个已经以各种形式运行了一段时间的框架。作为ASD总干事迈克·伯吉斯(Mike Burgess)将该机构“摆脱阴影”并消除其存储大量零日攻击的概念的一部分，它被公之于众。

关键的决策原则是，基于“关键情报要求”的存在，保护脆弱性的国家利益必须大大超过披露它的国家利益。

“如果这种弱点允许我们收集可以防止恐怖袭击的外国情报，这可能会发生，”政策说。

ASD还考虑保留漏洞是否存在恶意行为者利用弱点的风险，以及可能需要采取哪些预防性措施来保护澳大利亚的利益。

新发现的漏洞首先由由工作级技术专家组成的Equity Steering Group进行评估。ZDNet了解ASD的网络安全和攻击性网络操作方面都有代表，并且讨论可以很强大。

如果该小组建议应保留一个漏洞，则由平等委员会考虑由高级行政人员的薪酬等级组成的人员。

请参阅：ACSC收紧澳大利亚政府系统的访问控制

保留脆弱性的决定每季度由总干事审查，每年由独立的情报和安全监察长(IGIS)审查。向IGIS简要介绍IGIS是一项令人生畏的经历。

12个月后还会审查每个漏洞的保留情况。

ZDNet了解到，在此评估和审核流程结束时，为ASD使用保留的漏洞数量非常少，这一数量不会被称为“仓储”。

相关覆盖范围

澳大利亚华为禁止“解决”问题：佩恩

Marise Payne说，澳大利亚做出了主权决定。其他国家将自己创造。

澳大利亚应该为议会网络攻击者命名

如果对澳大利亚政府机构进行如此明显的攻击，我们应该随时准备指责并对对手施加一些实际成本。

澳大利亚网络主机遭遇狂躁动物恶意软件

犯罪分子利用受损的网络托管服务器挖掘加密货币，并将广告和搜索引擎优化工具插入客户网站。

ACSC会召开年度会议，与AISA合作开展网络活动

澳大利亚的网络安全机构加入了该国网络专业人士的最高机构，通过政府的联合网络安全中心提供发展计划。

澳大利亚政府在部署DMARC电子邮件欺骗预防方面落后于英国

DMARC电子邮件身份验证可以显着降低网络钓鱼攻击的风险，但只有5.5%的澳大利亚主要政府域名部署了它。这将改变。

澳大利亚的加密法律“极不可能”将员工秘密告知

放松，开发商，“援助和获取法案”“极不可能”迫使员工通过创建秘密后门来欺骗他们的老板。它也不违反欧洲的GDPR数字隐私法。