网络安全界对欧盟《网络韧性法案》的反应

关键要点

56位网络安全领袖对欧盟要求软件发布者在漏洞被恶意利用后24小时内披露未修补漏洞表示反对。批评者认为这一要求将导致政府机构接触到带有漏洞的实时数据库，增加恶意攻击的风险。一些安全专家则对《网络韧性法案》表示支持，认为这是向前迈出的一步。对美国公司而言，欧盟的监管变化可能会产生全球影响，需密切关注。

一群来自ESET、Rapid7、电子前沿基金会及谷歌的知名网络安全专家，近日对欧盟施加了压力，反对其在《网络韧性法案》(CRA)下，要求软件发布者在漏洞被利用后24小时内向政府机构披露未修复的漏洞。在一封公开信中，这56位网络安全领袖指出，欧盟的提案意味着众多政府机构将能够访问未修复漏洞的软件数据库，但却无法采取保护措施。

他们表示，这将使恶意攻击者成为一个诱人的目标，可能会滥用这一数据库获取情报，并对善意的安全研究人员产生威慑效应。公开信中强调：“过早披露漏洞可能会妨碍软件发布者与安全研究人员之间的协调与合作，而这些研究者通常需要更多时间来验证、测试和修复漏洞，然后再向公众披露。”

行业内对《网络韧性法案》的不同看法

尽管许多接受SC Media采访的安全研究者对公开信抱有共鸣，但也有一些人对《网络韧性法案》持更为乐观的态度，原因虽然不同，但观点各异。Token首席执行官约翰冈恩表示：“这一法案是向前迈出的一步。反对者的观点过于陈旧，基于两个错误的假设：网络犯罪分子并没有以越来越高的速度发现和共享漏洞信息，以及组织在不知情或未同意的情况下，仍愿意暴露于风险之中。”

Aon Cyber Solutions首席信任官凯特库恩则表示，公开信是朝着正确方向迈出的步伐：“我认为这实际上并不是一个问题，我认为这是件好事。我们应该看到这种行为更多地在美国得到采纳。尽管关于我们的披露存在很多抱怨，但到目前为止，并没有明确体现社区期望的标准。”

在库恩看来，公开信的作者提出了多个希望欧盟重新考虑的具体点，包括：

应明确禁止机构使用或分享通过CRA披露的漏洞用于情报、监视或攻击目的。仅在有效补救措施如补丁公开后72小时内向机构报告可修复漏洞，报告内容应包括制造商的初步发现日期。CRA不应要求报告因善意的安全研究而被利用的漏洞。与恶意利用漏洞相比，善意的安全研究并不构成安全威胁。

美国企业为何应关注这项发展

Critical Start的网络威胁研究高级经理卡莉根瑟指出，这一发展对美国企业至关重要。根瑟表示，许多美国公司在全球范围内运营，欧盟的监管变化可能会影响他们的全球运营。

“欧盟监管决策的涟漪效应，例如GDPR对CPRA和其他美国隐私法的影响，表明欧洲的决定可能预示着美国类似的监管考量。”根瑟说。“此外，因欧盟法规匆忙披露的漏洞并不会限制其风险于欧洲。使用相同软件的美国系统也将暴露在外。总之，尽管CRA旨在保护消费者和企业免受网络威胁，其当前轨迹可能会产生一些意想不到的后果。”

小火箭节点官网

当被问及像CRA这样的针对严格漏洞披露的规定是否会传入美国时，Token的冈恩表示，他预期只有少数开放的州会效仿，正如我们在GDPR实施时所见。“但不要指望有全国性的措施，”冈恩说。“我们在美国的监管过程受到