Năm 2021, ba cơ quan chủ chốt của Trung Quốc — Cục Quản lý Không gian mạng (CAC), Bộ Công an (MPS) và Bộ Công nghiệp và Công nghệ Thông tin (MIIT) — đã ban hành Quy định về Quản lý Lỗ hổng Bảo mật Sản phẩm Mạng (RMSV).
Quy định này bắt buộc các nhà nghiên cứu và tổ chức phải báo cáo các lỗ hổng bảo mật phần mềm có thể khai thác được lên MIIT trong vòng 48 giờ kể từ khi phát hiện.
Quy Định RMSV và Cơ Chế Báo Cáo Lỗ Hổng
Chính sách RMSV nghiêm cấm các nhà nghiên cứu công bố chi tiết về lỗ hổng, mã khai thác minh chứng (proof-of-concept exploits), hoặc các đánh giá mức độ nghiêm trọng phóng đại mà không có sự phối hợp trước.
Việc công bố phải được thực hiện với chủ sở hữu sản phẩm liên quan và các cơ quan chức năng để đảm bảo các bản vá được phát triển và triển khai kịp thời.
Bằng cách chuyển tất cả các báo cáo thông qua Nền tảng Chia sẻ Thông tin Mối đe dọa và Lỗ hổng An ninh Mạng của MIIT (NVDB), hệ thống đảm bảo việc tập hợp thông tin tập trung.
Điều này bao gồm cả các lỗ hổng zero-day và các lỗ hổng đã biết, tích hợp chúng với các cơ sở dữ liệu hiện có.
Các cơ sở dữ liệu này bao gồm Cơ sở dữ liệu Lỗ hổng Quốc gia Trung Quốc (CNVD) do Trung tâm Điều phối Ứng phó Khẩn cấp Mạng Quốc gia Trung Quốc (CNCERT/CC) quản lý, và Cơ sở dữ liệu Lỗ hổng An ninh Thông tin Quốc gia Trung Quốc (CNNVD) do Bộ An ninh Nhà nước (MSS) vận hành.
Hệ sinh thái kết nối này chia sẻ dữ liệu với nhiều thực thể khác nhau.
Những thực thể này bao gồm Cục 13 của MSS, các nhà thầu liên quan đến Quân Giải phóng Nhân dân (PLA) như Beijing Topsec, và các trung tâm nghiên cứu tại Đại học Giao thông Thượng Hải.
Các trung tâm này tập trung vào các hoạt động tấn công và phòng thủ liên quan đến mối đe dọa dai dẳng nâng cao (APT).
Phạm Vi và Quy Mô của Nền Tảng NVDB
NVDB được thiết kế để bao quát nhiều lĩnh vực quan trọng, bao gồm các cơ sở dữ liệu con chuyên biệt cho:
- Sản phẩm mạng chung
- Hệ thống điều khiển công nghiệp (ICS)
- Công nghệ thông tin đổi mới do chính phủ sử dụng
- Phương tiện kết nối internet
- Ứng dụng di động
Nền tảng này đã nhận được đóng góp đáng kể từ 103 công ty, trong đó 48 công ty cũng đồng thời hỗ trợ CNNVD.
Các đơn vị hỗ trợ kỹ thuật cho CNNVD, bao gồm 151 công ty, tuyển dụng ít nhất 1.190 nhà nghiên cứu lỗ hổng chuyên trách.
Những nhà nghiên cứu này hàng năm gửi tối thiểu 1.955 lỗ hổng, trong đó có 141 lỗ hổng nghiêm trọng.
Mức độ nghiêm trọng của các lỗ hổng này được chấm điểm thông qua Hệ thống Chấm điểm Lỗ hổng Chung (CVSS), một tiêu chuẩn công nghiệp để đánh giá tác động của lỗ hổng.
So Sánh Chính Sách An Ninh Mạng: Trung Quốc và Hoa Kỳ
Các quy định bắt buộc của Trung Quốc tương phản rõ rệt với các hệ thống tự nguyện phổ biến tại Hoa Kỳ.
Tại Hoa Kỳ, các lỗ hổng bảo mật được báo cáo cho các Cơ quan Cấp số CVE (CVE Numbering Authorities) và tích hợp vào Cơ sở dữ liệu Lỗ hổng Quốc gia (National Vulnerability Database – NVD) mà không có sự bắt buộc pháp lý.
Hệ thống này chủ yếu dựa vào động lực của các nhà nghiên cứu, thường được thúc đẩy bởi các chương trình tiền thưởng (bounties) hoặc mong muốn được công nhận về chuyên môn.
Cơ chế quản lý lỗ hổng của Trung Quốc được cho là củng cố các hoạt động tấn công mạng của quốc gia này.
Nó cho phép tích trữ một kho tàng các lỗ hổng để khai thác, tương tự như việc duy trì một kho vũ khí chiến lược cho các tác nhân tình báo và quân sự.
Các lỗ hổng thường trở nên lỗi thời nhanh chóng do các bản vá được phát hành, đòi hỏi một luồng thông tin liên tục về các lỗ hổng mới.
RMSV giúp thu thập những lỗ hổng trước đây không được báo cáo thông qua các kênh chính phủ, bao gồm cả những phát hiện nội bộ của các công ty hoạt động tại Trung Quốc.
Thông tin chi tiết về Cơ sở dữ liệu Lỗ hổng Quốc gia Hoa Kỳ có thể được tìm thấy tại NVD NIST.
Tác Động Đến Xu Hướng Công Bố và Hoạt Động Tấn Công Mạng
Dữ liệu đã chỉ ra sự sụt giảm đáng kể trong việc công bố thông tin trên CNVD sau năm 2021.
Điều này đặc biệt rõ rệt đối với các lỗ hổng trong hệ thống điều khiển công nghiệp (ICS), với số lượng giảm từ hàng trăm mỗi năm xuống chỉ còn mười lỗ hổng vào năm 2022.
Xu hướng này gợi ý rằng các báo cáo có thể đã bị giữ lại để phục vụ cho mục đích tấn công.
Trong cùng giai đoạn đó, các cơ quan Hoa Kỳ như CISA đã ghi nhận 113 lỗ hổng ICS bị khai thác thực tế.
Các thực tiễn của MSS, thể hiện qua việc công bố chậm trễ các lỗ hổng nghiêm trọng trên CNNVD, ngụ ý một quá trình đánh giá để vũ khí hóa chúng.
Các đối tác khu vực tư nhân được cho là cung cấp các mã khai thác được quan sát thấy “trong tự nhiên” (in the wild).
Các công ty nước ngoài tuân thủ RMSV và báo cáo các lỗ hổng bảo mật mà không nhận được sự công bố tương hỗ từ phía Trung Quốc.
Điều này khiến họ mất đi tầm nhìn về các nghiên cứu và phát hiện lỗ hổng của Trung Quốc trong khi vẫn cung cấp dữ liệu quý giá cho hệ thống của nước này.
Ngược lại, hệ thống báo cáo phi tập trung của Hoa Kỳ cho phép các biện pháp phòng thủ linh hoạt và do thị trường điều khiển, dù nó thiếu một quy trình thu thập toàn diện như của Trung Quốc.
Các nhà phân tích liên kết việc gia tăng triển khai các lỗ hổng zero-day của các tin tặc Trung Quốc, như được đề cập trong Báo cáo Phòng thủ Kỹ thuật số năm 2022 của Microsoft, với các quy định này.
Điều này đã góp phần nâng cao tốc độ hoạt động của các thực thể như PLA và MSS, làm tăng mối đe dọa mạng toàn cầu.
Thách Thức Đối Phó và Kiến Nghị
Các nhà hoạch định chính sách toàn cầu đối mặt với nhiều thách thức trong việc đối phó với chính sách quản lý lỗ hổng của Trung Quốc.
Việc cố gắng nhân rộng hệ thống báo cáo bắt buộc có thể làm gián đoạn thị trường mà không nhất thiết mang lại lợi ích phòng thủ đáng kể.
Lý do là thời gian vá lỗi hiện tại khá nhanh chóng, thường chỉ khoảng chín ngày.
Thay vào đó, một chiến lược hiệu quả hơn có thể là đẩy nhanh quá trình gán số CVE quốc tế.
Điều này có thể thúc đẩy việc công bố thông tin toàn cầu nhanh hơn, gây áp lực lên việc phát hành các bản vá nhanh chóng và giảm thiểu các đợt tăng đột biến trong khai thác lỗ hổng bảo mật.
Cuối cùng, cách tiếp cận của Trung Quốc đã chuyển đổi các lỗ hổng từ rủi ro kỹ thuật thành nguồn tài nguyên chiến lược.
Cách tiếp cận này mang lại lợi thế rõ rệt cho Trung Quốc trong các hoạt động tấn công mạng so với các chuẩn mực quốc tế tự nguyện về công bố lỗ hổng.
