台厂Zyxel加入CVE编号管理者，2021上半MITRE CNA计划成员大增

随着各界对于产品安全的重视，IT厂商打造产品资安事件应变小组（PSIRT），不仅让自家产品的安全性问题，都有专门的团队统筹因应，更是要能获取客户的信任。而在成立PSIRT之外，加入MITRE CNA计划，也成为不少国际企业在产品安全上，同样会看重的一环。

今年7月，国内网通设备大厂兆勤科技（Zyxel Networks）宣布，取得MITRE通用漏洞揭露计划（CVE）授权，成为CVE Numbering Authority（CNA）成员，将有权限对权责范围内的产品漏洞，也就是Zyxel自家产品的安全性问题，发布CVE漏洞标号。目前（至7月26日止），根据MITRE CNA成员列表所示，全球已有30个国家，共179家机构组织及企业参与这项计划，Zyxel成为台湾现有第四家企业与机构，且是国内上市公司首例。

借由加入CNA成员，运用外部力量加速内部产品安全实践

一般而言，由美国MITRE公司负责营运维护的CVE平台，会将所有已知漏洞资讯与安全风险的名称统一，并给予漏洞编号，而CVE ID则是由CNA来指派。

在目前国际的网通大厂中，取得CNA的业者不算多，包括Cisco、Fortinet、Juniper与Palo Alto Networks，现在则是新增了来自台湾的Zyxel。

不过，外界也很好奇，为何Zyxel要加入这项CNA计划？

合勤控资安长游政卿表示，他们的PSIRT在2017年4月成立，原本是不同团队人员组合起来的虚拟团队，在2021年4月，他们已成立固定编组的正式单位。

加入CNA计划是年初的决定，他们主要有两大考量。首先，自PSIRT成立以来，他们观察每年CVE Detail记录，发现自家产品漏洞的数量与严重性，并没有达到预期的减少与降低，于是，他们开始反思：毕竟当初PSIRT成立是为了持续监控潜在外部威胁，立即回应安全问题，属于事后的救火，所以，他们后来也体认到，问题并未从根源去解决，因为产品设计就要融入资安。

其次，为了找到亟需改善的流程及要点，透过机动、持续地修正，Zyxel开始明定安全架构设计原则、源代码安全检测、产品安全验证。

例如，在今年初于新产品管理流程中，开始加入产品安全验证报告的阶段，同时，在漏洞通报管理方面，他们也有新的动作：PSIRT团队决定取得MITRE CNA成员资格，不仅是能自行管理并分析产品漏洞，同时，借由取得国际成员资格，透过这种外部力量的约制，进而期望让产品安全在内化的力量能够加快。

目前参与MITRE CNA计划的成员已涵盖30个国家，共179家机构组织及企业申请为成员，国内上市网通设备大厂兆勤科技（Zyxel Networks）现也成为其中一员，他们不只期望强化产品安全，还要加速设计安全的实践。

近期加入CNA计划的厂商数量，明显比往年大幅提升

另一个兆勤科技加入MITRE CNA计划的重要关键，那就是全球大型科技业者的态度。以厂商类型的CNA成员来看，国际大厂占了不少，例如：Apple、Dell、HPE、IBM、GitHub、Google、微软、Oracle，以及Intel、Nvidia、Qualcomm等，还有Line、NEC、Samsung、Naver等。

游政卿表示，他们加入此计划前，已先观察全球申请概况，发现数量有快速增加的趋势。例如，在2017年新增36个，在2018年是15个，2019年是17个，2020年是40个，到了今年1到6月，就已经达到29个。

除了不少国际大厂都这么做，Zyxel还注意到：几家公司之前曾传出资安议题，而从这些公司加入CNA的时间点，对照过去的资安新闻，可察觉他们之所以这么做，可能都是因为资安议题，要进一步强化产品安全。例如，半年前引发轩然大波的Solarwinds，在今年6月也已成为CNA成员。

因此，若能成为这样的国际社群成员，等于也是顺应国际大厂精进产品安全管理的方法。

自2020年以来，越来越多厂商加入成为MITRE CVE编号管理者（CNA），去年有40个，今年上半以达29个，例如，去年底有Line，今年上半有Samsung Mobile、NEC、Zoom、Zyxel与Solarwinds等。

可展现对于自家产品安全的积极处理态度

以Zyxel的CNA权限而言，主要就是针对公司旗下所有产品，可以自行管理CVE，包括新发现或自家产品相关的漏洞派发CVE识别码，让漏洞通报流程更顺畅。

对于业者本身而言，取得CNA身份，有何助益？游政卿指出三大好处。

第一，能够充分了解产品的弱点与严重程度。因为当各CNA接收漏洞通报时，会评估该漏洞是否有主责的CNA，因此，将能与通报漏洞的第三方研究人员对接，掌握潜在产品资安问题。他表示，这就如同一面镜子般，他们在研发设计时，可以更了解产品的弱点问题。

第二，可以更妥善控制漏洞资讯的披露。举例来说，若没有CNA的身份，通常研究人员可能直接与MITRE等人员联系，但可能没办法很正确或完整。相对来看，若是具有CNA的身份，游政卿举例，研究人员可能通报发现产品的某一版固件有漏洞，但原始产品制造厂商本身对于自家产品更了解，实际揭露时，就可以更精确指出是某一版之前的固件有问题。

第三，弱点资讯揭露的时间可以由自己掌握。这能避免资安研究人员自行申请CVE而对外揭露，让公司内部有足够时间准备修补，并通知用户，之后再对外公开。

对于Zyxel加入CVE编号管理者，合勤控资安长游政卿表示，未来他们将能够更有掌握漏洞通报的前置处理时间，以及资讯的揭露时间，并且借助外部力量，让产品安全在内化的力量能够加快。摄影／洪政伟

此外，由于Zyxel旗下网络产品种类多，加入CNA后，是否存在不同的挑战？对此，游政卿表示，他们PSIRT团队的任务，就是要负责集团各子公司，像是兆勤、合勤旗下所有产品的资安问题，所以要处理的产品种类与面对的客户类型各异。

然而，Zyxel目前的PSIRT团队仍无法对每样产品都了若指掌，而现在他们取得MITRE CNA后，他认为这会是很好的学习机会，可以更广泛接收不同产品线的资安通报。

如今，他们内部已有一套完整运作机制，让PSIRT团队能与各产品线的研发协同分析、验证通报的漏洞问题，并在确认问题后，协同产品经理尽快安排修补程式。

此外，PSIRT每月也将主持资安月会，借此与各产品线研发人员与产品经理交流，让不同产品线之间的工作人员也能了解各种潜在风险。

整体而言，游政卿认为，CNA的取得有其意义，例如，能让公司的PSIRT团更坚信“责任心有多强，能力就会有多大”，并将加速Security by Design的实践。

能够取得CNA的资格的确别具意义，但过程是否困难？游政卿认为，外部因素不大，毕竟MITRE本身都会提供完整的训练机制，包括口头的报告、线上训练，让有意成为CNA的企业能依循与参考。

但是，企业自己内部的沟通与说服，包括成本、效益与冲击，会是挑战，最高主管的支持也是关键，而且不能只是嘴上说说，还要实际采取行动，而在Zyxel本身的运作上，他们PSIRT团队最高主管董事长也一定要参与、推动。游政卿指出，他们要将产品安全改善计划逐步变成制度、程序，最终变成习惯。

台湾现有4大企业组织成为MITRE CVE编号管理者

在台湾，现在参与MITRE CNA计划的企业或机构共有4家。早前国内这方面最积极的是NAS业者，包括，群晖科技、威联通科技，以及华芸科技（已不再CNA成员名单），还有台湾电脑网络危机处理暨协调中心TWCERT/CC，以及最新加入的Zyxel。

较特别的是，国内资安业者趋势科技及旗下漏洞通报平台ZDI，虽然也是CNA成员，可能因为趋势科技为日本上市，这两者在MITRE CNA是归类在日本。

面对产品安全性问题，国际大厂都在重视，让产品漏洞能够及早修补。事实上，在前几年的国内资安研讨会上，我们时常看到群晖提倡PSIRT概念，以及分享取得CNA的经验，现在国内又有身为上市公司的合勤集团投入。对于其他国内产品业者而言，将是一个借镜，因为国内已经不只一些公司这么做，现在国内上市网通大厂也看重。