ASD揭示了保密漏洞的规则

澳大利亚信号局(ASD)已悄然公布其决定何时保密网络安全漏洞知识的流程。

这是第一个官方承认ASD可能不会披露它发现的所有漏洞。但是，秘密漏洞的知识一直是该机构进攻性网络运营工具包的重要组成部分。

网络安全漏洞的负责任发布原则文件于周五发布在ASD的网站上。

该政策强调，该机构在发现缺陷时的起始位置是披露它并与供应商合作，以确保补丁在公布之前可用。

“然而，有时，安全漏洞将为获取有助于保护澳大利亚人的外国情报提供新的机会。在这种情况下，不披露漏洞可能会更好地为国家利益服务，”该政策写道。

“保留漏洞的决定永远不会掉以轻心。只有经过仔细的多阶段专家分析才能做出决定，并且需要经过严格的审查和监督。”

ZDNet理解这不是一个新的决策框架，而是一个已经以各种形式运行了一段时间的框架。作为ASD总干事迈克·伯吉斯(Mike Burgess)将该机构“摆脱阴影”并消除其存储大量零日攻击的概念的一部分，它被公之于众。

关键的决策原则是，基于“关键情报要求”的存在，保护脆弱性的国家利益必须大大超过披露它的国家利益。

“如果这种弱点允许我们收集可以防止恐怖袭击的外国情报，这可能会发生，”政策说。

ASD还考虑保留漏洞是否存在恶意行为者利用弱点的风险，以及可能需要采取哪些预防性措施来保护澳大利亚的利益。

新发现的漏洞首先由由工作级技术专家组成的Equity Steering Group进行评估。ZDNet了解ASD的网络安全和攻击性网络操作方面都有代表，并且讨论可以很强大。

如果该小组建议应保留一个漏洞，则由平等委员会考虑由高级行政人员的薪酬等级组成的人员。

保留脆弱性的决定每季度由总干事审查，每年由独立的情报和安全监察长(IGIS)审查。向IGIS简要介绍IGIS是一项令人生畏的经历。

12个月后还会审查每个漏洞的保留情况。

ZDNet了解到，在此评估和审核流程结束时，为ASD使用保留的漏洞数量非常少，这一数量不会被称为“仓储”。