E安全7月18日訊 美國網絡安全公司 Recorded Future在2018年7月16日發佈報告,總結分析了俄羅斯聯邦技術出口管制局(簡稱 FSTEC)的漏洞披露操作。這份報告指出,俄羅斯通常只公佈10%的已知漏洞,且發佈時間比中國的國家漏洞數據庫滯後83天,比美國的滯後50天
。
本文源自E安全
Recorded Future報告總結的要點
- 俄羅斯的漏洞數據庫由聯邦技術出口管制局(FSTEC)運作,FSTEC 是負責保護俄羅斯國家機密,並支持反情報和反間諜行動的軍事單位。
- FSTEC 的漏洞數據庫簡稱為 BDU(Банк данных угроз безопасности информации)。在已被美國國家漏洞數據庫(NVD) 公佈的10萬7901個漏洞中,BDU 只公佈了1萬1036個漏洞,只約佔美國公佈的漏洞數量的10%。
- Recorded Future在報告中指出,大部分(61%)俄羅斯國家支持型威脅組織利用過的漏洞都被 FSTEC 披露了。這項數據還不足以確定俄羅斯情報機構對 FSTEC 漏洞披露的影響。
- FSTEC 在俄漏洞數據庫( BDU) 披露的主要是對俄羅斯國家信息系統存在威脅的漏洞。
美媒報道稱,若要進入俄羅斯市場銷售產品,外國的軟件和安全公司須將產品提交給 FSTEC 和相關機構,供其查看源代碼,美媒認為,FSTEC 表面上提供漏洞相關信息,實則可能是以此收集外國軟件的情報,FSTEC 有能力通過技術檢查發現漏洞,並將其武器化。
本文源自E安全
FSTEC的背景
俄羅斯聯邦技術出口管制局(FSTEC) 成立於2004年,隸屬於俄羅斯國防部。FSTEC 在莫斯科設有中心辦公室,此外還在七個地區有辦事處以及一個名為“國家技術信息保護問題科學與研究實驗研究院”(簡稱 GNIII PTZI)的信息安全研究與實驗研究院。
職能
俄羅斯總理官網在2016發佈的一份文件顯示,FSTEC 負責執行政府政策,協調部門間合作,並在國家安全領域行駛特殊職能。這些國家安全領域包括:
- 信息系統安全;
- 打擊針對俄羅斯的外國技術威脅;
- 國家機密安全;
- 出口控制。
在 FSTEC 四大職能之中,它還需與俄羅斯國家安全局(簡稱 FSB)合作保護國家機密,支持技術性反情報和反間諜活動,而且有權監控負責國家機密事務官員的通信。
FSTEC 雖隸屬於俄國防部,但其權力範圍很廣,特別是在國家技術控制和國家機密安全領域的權力。FSTEC 網站的文件顯示,該機構還能管控化學和核武器的商用周邊材料以及反技術情報。
FSTEC的高級委員會組成
FSTEC 有一個高級政府官員組成的委員會,包括俄羅斯軍方總參謀部副部長、內務部副部長、俄羅斯聯邦安全局(FSB)下的經濟安全司司長、俄羅斯對外情報局(SVR)副局長等。該委員會的主要職能是設置並管理 FSTEC 預算以及協調部門間的職能。
據 FSTEC 的官方文件透露,2015年該機構被指派了1111名員工,還不包括安全、保護和維護人員。在這1111名員工中,有225人在其莫斯科總部就職,其他則分佈在另外七個地區辦事處。
報告就FSTEC和中國CNITSEC做了對比
Recorded Future 的報告指出,FSTEC 的主要任務非常明確且是明文規定,國家安全是其首要任務。和其他國家的類似組織不同(如中國信息安全測評中心 CNITSEC),FSTEC 沒有言明自己提供公共服務的任務,而發佈的都是對俄羅斯國家信息系統存在威脅的漏洞。所以 FSTEC 不同於 CNITSEC,它是一個公開的國家秘密組織。鑑於 FSTEC 是一個公開的軍事機構,那麼對於它主要披露的漏洞類型,以及為何不披露某些漏洞也就不言而喻了。
關於FSTEC漏洞披露分析
FSTEC 於2014年開始披露漏洞數據,比美國 NVD 晚了十五年。如下所示,FSTEC 在2014年發佈的漏洞量很小,2015年出現激增,而後在2016到2018年間又出現回落。
本文源自E安全
俄羅斯漏洞數據庫BDU收錄不全
研究人員對照檢查 FSTEC 的漏洞數據庫 BDU 漏洞標識符和 NVD 的 CVE 漏洞標識符時發現,並不存在一一對應的關係。FSTEC 有時會把多個 CVE 漏洞綜合成一個單獨的 BDU 漏洞,而有時候又會把不同操作系統的多個 BDU 漏洞綜合成一個 CVE 漏洞。BDU 披露了11306個漏洞,接近美國 NVD 披露的十分之一。這一差異並不單單因為 FSTEC 起步晚所致,因為 FSTEC 覆蓋的25%的漏洞都在 FSTEC 運營前幾年就有了。
報告顯示,FSTEC 在2015年發佈的漏洞量遠超其他年份。或許是因為2015年是 BDU 數據庫用來實驗的一年,在這一年 FSTEC 對自身的職能進行了評估。儘管 FSTEC 在2015年度活動報告中並未對 BDU 這一年的實驗做出總結,但從數據可以看出,FSTEC 決定大幅減少漏洞披露的範圍和數量。更窄的範圍與該數據庫的公共任務相符,即集中報告與國家信息系統或關鍵基礎設施相關的漏洞。
Recorded Future認為,儘管 FSTEC 宣稱 BDU 適用於開發人員、安全專家、測試實驗室或其它組織,但分析卻顯示其主要針對俄羅斯政府及基礎設施所使用系統的安全漏洞。在 BDU 發佈最快的漏洞中,有75%與瀏覽器或工業控制軟件有關。
本文源自E安全
漏洞披露滯後、“定向”
Recorded Future 的這份報告評估了中國和美國的漏洞數據庫披露漏洞的差異,並指出中國在漏洞披露方面的平均速度上快於美國。研究人員對比2017-2018年的漏洞披露情況後發現,俄羅斯的漏洞披露時間嚴重滯後於美國和中國,俄羅斯披露的漏洞不僅數據不完整,且時間還極為滯後。
BDU收錄的漏洞多被APT組織關注
Recorded Future 發佈報告披露了俄羅斯 APT 組織利用的漏洞以及這些 APT 組織瞄準的產品廠商(產品包含漏洞)。研究人員經過對比發現,這些技術廠商均出現在 FSTEC 關注的領域。這就意味著,FSTEC 對這些廠商的漏洞披露率遠超10%。這些廠商的軟件在全球範圍內得到廣泛使用,所以俄羅斯 APT 組織很有可能針對這些技術實施攻擊。
為了更深入地探索,Recorded Future 研究人員還對俄羅斯 APT 組織過去四年利用過的漏洞再次進行了分析。對分配了 CVE 編號的漏洞和美國 NVD 和中國 CNNVD 披露的漏洞分析後,Recorded Future 確定了俄羅斯 APT 團隊在這段時間內利用過的49個漏洞。其中的30個漏洞(61%)由 FSTEC 發佈,這遠高於 FSTEC 漏洞發佈的平均值10%。此外,在這30個漏洞中,有18個漏洞被黑客組織 APT28 利用發起攻擊。
注:本文由E安全編譯報道,轉載請註明原文地址
閱讀更多 E安全 的文章
