10.2 产品安全事件响应团队 PSIRT

另一项与 SSDF 和产品与软件供应商行业最佳实践相关的重要建议是建立产品安全事故响应小组（PSIRT）。PSIRT 类似于网络安全事件响应小组 (CSIRT)，但 PSIRT 并不是面向内部的，重点关注组织的基础设施和系统，而是以产品为重点，关注组织产品的漏洞和威胁。PSIRT 出现在 NIST SSDF 的 "漏洞响应"（RV）组中，并被列为一个实施示例，允许组织处理漏洞报告和事件的响应，并处理组织内部和外部利益相关者之间的沟通。

无论你是要组建新的 PSIRT 团队，还是要评估现有团队的成熟度以找出需要改进的差距，FIRST 的 PSIRT 成熟度文档都是一个很好的资源，FIRST 也是我们在其他章节中讨论过的 CVSS 和 EPSS 的领导机构 (www.first.org/ standards/frameworks/psirts/psirt_maturity_document)。FIRST 的 PSIRT 成熟度文档为 PSIRT 团队提供了三个成熟度级别，分别为基础级、中级和主动级（见图 10.1）。让我们简要了解一下每个成熟度级别，以了解每个级别的相关能力。

在深入研究 PSIRT 级别之前，最基本的步骤之一是创建 PSIRT 章程，该章程包含 PSIRT 的使命宣言、利益相关者、隶属关系/赞助组织和范围。

在基础级别，PSIRT可能只是刚刚建立并尝试获取功能的基础。这需要获得高管支持、确定利益相关者、预算和基础程序。这意味着PSIRT需要组织领导的支持；确定谁是利益相关者，包括内部和外部；并有预算用于初始人员配备和建立；并创建政策和流程以规范PSIRT将如何基本运作。

例子包括FIRST的文件中提供的政策和流程，提供了漏洞管理、信息处理和修复服务级别协议。除了这些，PSIRT还需要一些基本能力来满足其意图。这包括创建漏洞报告的能力，包括发布联系信息以及如何报告漏洞到组织的PSIRT。

接收漏洞报告只是第一步；接下来需要对漏洞报告进行分类和分析。这涉及关键步骤，如漏洞报告的验证，询问漏洞是否有效以及应接受还是拒绝。FIRST推荐PSIRT捕获关键漏洞信息并采用机器可读格式以提高效率和规模。资源包括通用漏洞报告框架（CVRF）、CSAF和通用漏洞和暴露（CVE）计划，最后一个由NIST的国家漏洞数据库（NVD）支持，并使漏洞通信能够通过消费者支持，如CVE扫描工具集成并查询NVD获取漏洞数据。

一旦PSIRT验证并接受漏洞，就需要进入漏洞分析阶段，这涉及了解漏洞如何运作，如何被利用，他们的产品和服务的哪些版本受到漏洞影响，以及漏洞利用的影响是什么。影响往往取决于环境和缓解控制措施是否存在，这通常会让消费者决定是否存在，由于他们对其操作环境的内在了解。

在分析期间，PSIRTs通常会执行优先级排序和评分。FIRST的文件推荐使用CVSS，这是合理的，鉴于他们与CVSS的关系，但正如我们在其他地方讨论过的那样，CVSS也有来自学术界和行业界的强烈批评。尽管有这些批评，CVSS在行业中得到了广泛采用，如果PSIRT选择另一种评分方法，如FIRST所述，他们可能仍需要解释该决定，因为消费者往往熟悉CVSS。

一旦漏洞得到验证和分析，供应商需要采取措施修复漏洞。修复可能涉及代码修复和产品补丁或提供指南给消费者，以减轻漏洞的风险，或者理论上选择不修复漏洞，无论如何，这基于PSIRT及其同行在供应商公司的成本效益分析。

最后，漏洞披露的基础成熟度级别涉及通知产品或服务的消费者关于漏洞。这种通知理想情况下伴随着如何修复漏洞或减轻它的指南，如果不存在代码修复或解决方案。FIRST还推荐感谢报告漏洞的安全研究人员或实体，并通过信用建立社区中的信任。

超越基础和基本成熟度级别，PSIRT将进阶到中级或中间级别。这是PSIRT开始提供更全面的服务，与组织内部和外部更多的利益相关者互动，并成熟现有的基本能力的地方。

如FIRST所述，中级PSIRTs拥有清晰的利益相关者理解、建立流程并优化其分析和响应漏洞的能力。中级PSIRTs还能够使用工具来改善其漏洞报告摄取和处理能力。FIRST推荐中级PSIRT理解发布的产品的组成部分，将这些数据捕获在产品清单或物料清单中，如果产品是软件中心的。

BOM的拥有不仅有助于软件组件的可见性和漏洞管理，还使组织能够了解需要与哪些第三方（如OSS项目）进行沟通。

FIRST的指南指出，更成熟的PSIRTs有更多的角色和责任来理解每个利益相关者在漏洞处理和分析活动中的角色，并开始与可能向PSIRT报告漏洞或缺陷的安全研究人员建立信任关系。这部分通过拥有功能性流程和工具，如票务系统来促进漏洞报告过程。

除CVSS和严重性评分外，PSIRTs通常会成熟并使用通用漏洞枚举（CWE）对漏洞进行标记。如我们在第3章“漏洞数据库和评分方法”中讨论的那样，CWE是由MITRE管理的系统，提供社区开发的软件和硬件弱点类型列表，允许漏洞的快速标记和分类。

中级PSIRTs还能够依赖先前的漏洞修复活动，避免从头开始，并有规范的流程来帮助漏洞修复活动，并最终漏洞披露。这意味着改进PSIRT与各方的合作关系作为披露的一部分，并推荐使用其多方漏洞协调和披露的指南和实践，以促进成熟的漏洞披露方法。

这一成熟度的一部分将涉及标准化的披露渠道、度量跟踪和迭代过程改进。FIRST还指出，PSIRT可能在实际公开披露之前提供客户通知。这是有道理的，因为一旦信息公开，不仅是防御者在看，恶意行为者也会试图在消费者修复漏洞之前利用它们。

最终，PSIRT理想地进阶到成熟度级别3，也称为高级。

通过查看图10.3可以快速了解，PSIRT现在已经建立了服务和能力的健壮组合，并且在基础能力上也在进步。这意味着漏洞报告摄取、分析和安全更新交付的流程得到了理解，并贯穿整个组织和其利益相关者。

先进PSIRTs与其他的一个最大区别是从反应性文化向主动性文化的转变。这意味着积极寻找产品中的漏洞或缺陷，向利益相关者过度沟通，并与产品工程团队紧密合作和协作。

成为先进的一部分包括执行基本要素，如与利益相关者建立强关系，提供和接收反馈，以优化PSIRT的功能和性能。这个积极改进过程与关键生产率指标（KPIs）和客户满意度等指标相关联。

保持DevSecOps的主题，FIRST提到另一个先进PSIRTs的标志是与开发团队的紧密集成和关系，以了解产品路线图和即将发布的功能。PSIRT还将优化其工具以处理漏洞摄取、分析和报告流程。PSIRT还积极影响组织产品和服务的整个软件开发生命周期，以确保漏洞分析和扫描是标准化的活动，嵌入到开发工作流程和生命周期中。

鉴于PSIRT不断与安全研究人员接触，有时与同一研究人员多次接触，他们开始理解漏洞报告的熟练程度和有效性，并基于此知识优先处理报告和升级。先进PSIRTs能够体现行业的“左移”理念，通过在产品开发生命周期的早期获取工程团队的反馈。这不仅包括漏洞的识别，还包括优先级排序和修复活动。

PSIRT还需要理解他们所处的生态系统，不仅是向消费者下游传递，还向其供应商上游传递。这种认识伴随着清晰和可操作的沟通和期望，覆盖软件供应链的各个方向。

最后，鉴于PSIRT处理漏洞和产品缺陷的能力，PSIRT可以开始教导他人。这可以体现在内部培训和关于产品安全和漏洞管理实践的沟通，优化PSIRT的性能以及他们支持的开发和产品团队的性能。这不仅改善了产品和PSIRT的运营，但也理想地导致更安全的产品供下游消费者使用，这是最终目标。