X-Force 研究: 常見問答集

IBM Internet Security Systems X-Force 研究與開發團隊 是一群頂尖安全專家，致力針對網路威脅主動進行反偵察與公眾教育。X-Force 研究安全問題、透過 ISS 之 Global Threat Operations Center 追蹤威脅演進，並永遠讓 ISS 保持在市面上威脅管理解決方案開發的領先地位。

基本上，兩者的不同在於安全問題是由 X-Force 所發現，或是 X-Force 是為他人發現之現有安全問題提供額外資訊。兩種情況下都會為分析的威脅提供生產保護資訊。當 X-Force 就現行安全問題找到額外資訊時，就會發行 X-Force 保護警示。X-Force 保護諮詢則包含 X-Force 研究的原始與內部資訊。每項諮詢包括安全性弱點、其影響、受影響的版本以及管理和/或修正問題相關建議的詳細說明。

可以，只要您遵守 http://www.ibm.com/legal/us/en/ 上的使用條款即可。

使用條款 (http://www.ibm.com/legal/us/en/) 中有相關條件，列出您何時可以重印 X-Force 資料。其中的條款也會說明如何取得重印許可。

不會。IBM X-Force 不會為揭露安全性弱點資訊提供報酬。

X-Force 的工作職缺可以在 IBM 工作機會網頁上找到，網址為 http://www-03.ibm.com/employment/。您可以使用此系統搜尋並應徵工作職缺。如果您將履歷表或查詢傳送到其他位置或電子郵件位址，可能不會收到回覆。

X-Force 資料庫是全球最完善的威脅與安全弱點資料庫。這個資料庫是 X-Force 研發人員耗費數千小時的研究成果，其中大部分的資料都已納入 IBM ISS 的產品中。資料庫包含超過 30,000 條獨特的弱點、威脅和安全檢查資料，收集範圍包括網際網路、X-Force 之原始研究、IBM ISS 軟體以及其他軟體。

所謂安全問題，是指任何可能導致電腦系統的機密性、完整性或存取性變差或損毀的電腦相關弱點、暴露情況或配置設定。

有的。雖然 X-Force 資料庫可能包括一些屬於下列問題類型的記錄，我們並不會徹底加以研究：實體安全性；舊版或已作廢的軟體、網路和硬體；無法連接網際網路的軟硬體；集中式管理且不會於他處安裝軟體的軟硬體（例如 Microsoft Hotmail）；發生於特定時間（例如本星期四發生的網際網路威脅）的安全問題。

您可以使用位於 http://xforce.iss.net/xforce/search.php 的 X-Force 搜尋引擎，或使用您常用的搜尋引擎。關鍵字的選擇對於是否能找到所要的資訊會有很大影響。例如，搜尋 Microsoft 會找出數百個結果，但使用 MS07 做為關鍵字則可以在搜尋 2007 年的 Microsoft 資訊安全佈告欄時縮小搜尋範圍。

在某些案例中，X-Force 研究人員會遇到全部類別平台（例如所有 Windows 或 Linux 系統）都相關且受影響的情形。此時研究人員不會列出每個平台，只會列出整體平台。如果您找不到所需的平台相關弱點，則可能是因為您的搜尋範圍太過特殊。請試著使用較為概括的搜尋。例如，不要搜尋 AS/400，改用 AIX。

不會。然而 X-Force 會驗證已為我們的產品加上相關保護的所有安全問題，研究團隊會根據報告問題的來源可靠性判斷安全問題的有效性。問題一旦發佈後，X-Force 只會在確認該來源報告之安全問題不存在時，將問題從資料庫移除。如果您本身是受影響之產品的供應商或製造商，且想要澄清、要求修訂資訊或針對報告的問題提出反證，請參閱下列問題。

不能。X-Force 不會透露惡意探索或概念驗證碼 (Proof of Concept Code)，因為發表這類資訊可能會增加與該弱點相關的惡意活動可能性。

X-Force 不接受主動提供或祕密的安全性弱點相關資訊。您應試著與受影響的產品建立者共同尋求解決之道，再將您的結果發佈在其中一份弱點揭露郵寄清單中。

一組 X-Force 研究人員會不間斷地記錄並更新安全問題。網站會在內容有所變更後數分鐘內更新。

有多種方法可以讓您隨時取得最新的資料庫中安全問題相關內容新增與通知。X-Force RSS 摘要 -- ISS 首頁上的 X-Force 部落格和 Internet Threat Information Center，網址為 http:www.iss.net。您也可以訂閱 X-Force Threat Analysis Service，隨時接收即時資訊。更多有關此服務的資訊可以在 http://www.ibm.com/services/us/index.wss/offering/iss/a1026943 找到。

X-Force 資料庫中儲存了各類直接與間接與電腦安全相關的問題，例如配置設定、產品相關狀態訊息以及包含在許多不同安全產品中的安全審核檢查等。由於 IBM ISS 客戶會使用資料庫取得他們所使用的產品之相關資訊，在一些情況中，在 IBM ISS 產品環境之外某些網頁可能不產生意義。

ISS 經常會更新我們的產品，以提供客戶對於尚未公開之安全問題弱點的保護。當 X-Force 發現產品中存在弱點，會遵循特定弱點揭露準則 (http://documents.iss.net/literature/vulnerability_guidelines.pdf) 行動，包括連絡供應商並協調公布弱點資訊，讓供應商有時間開發修正程式。我們認為這才是負責任的弱點揭露方式。在這類情況下，我們可能會在公告弱點前，針對問題更新我們的產品，但資料庫記錄會維持不公開狀態，直到資訊公布為止。

加密項目是 ISS 標籤名稱，而號碼則是 X-Force ID (XFID)：ISS 標籤名稱是軟體和人員可以用來獨特參照安全問題的簡易詞彙。例如，http://xforce.iss.net/xforce/xfdb/3171 上的問題之標籤名稱是 amd-bo。研究人員使用有關安全問題的關鍵字組成標籤名稱，其中通常包括受影響的項目和其他可供區別的特徵。標籤名稱會用於 ISS 產品，研究人員也會經常使用此名稱參照安全問題。XFID 是用來獨特參照安全問題的號碼。例如，http://xforce.iss.net/xforce/xfdb/3171 上的問題之 XFID 為 3171。此號碼是在研究人員輸入安全問題相關資訊時由 X-Force Database 自動指派的。

X-Force 會指派風險層級給每個安全問題，以說明特定安全問題可能造成的損害程度。有三個可能的風險層級。高：允許以未獲授權的身份進行立即遠端或本端存取，或立即執行程式碼或指令的安全問題。中：可能授與存取權或允許透過複雜或長時間入侵程序執行程式碼的安全問題，或主要網際網路元件的相關低風險問題。低：拒絕服務或提供可用於在目標上制訂結構化攻擊，但無法直接進行未授權存取之非系統資訊的安全問題。

X-Force 研究人員會有系統地收集和讀取弱點揭露報告、受影響產品的諮詢資料和網站、追蹤訊息以及其他資訊，以編輯受影響平台清單。受影響平台和補救方法的相關資訊，通常會隨著新資訊出現和 更多供應商報告其系統出現弱點而變更。對於部分高優先順序問題，X-Force 會進行獨立測試以確認受影響和不受影響的版本。

我們認為適當供應商修補程式的維護最好由供應商於其本身網站上進行。供應商經常會隨著時間更新或替代某些修補程式，我們無法確實監控 X-Force 資料庫中數千問題的眾多修補程式更新。再者，修補程式下載 URL 往往不會連至特定的修補程式頁面，而會將使用者引導至供應商網站上的通用下載位置。由於上述原因，我們會提供供應商網站的鏈結，但不會提供特定修補程式的下載鏈結。

重要性會從最嚴重到最不嚴重加以評等。取得存取權：攻擊者能夠進行本端和/或遠端存取。取得專用權：可以在本端系統上取得專用權。略過安全性：攻擊者能夠略過、變更或停用安全機制。檔案操作：攻擊者能夠建立、刪除、讀取、修改、破壞或改寫檔案。資料操作：攻擊者能夠 修改或破壞資料串流。取得資訊：攻擊者能夠取得資訊，例如檔案和路徑名稱、原始碼、密碼、橫幅或伺服器配置詳細資料。拒絕服務：攻擊者能夠讓服務或系統當機或停滯，或是癱瘓網路。配置：系統公用程式使用了不正確或不安全的安裝參數安裝或執行，或在錯誤的位置安裝或執行。參考資訊：與其他嚴重的類別無關聯的隨附資料。其他：沒有其他適用的重要性時使用。不可用於無重要影響的非安全性檢查。

參照是任何提供支援或其他安全問題相關資訊的網際網路檔案。參照包括參照簡要說明、確切標題（包括任何作者拼字錯誤）和連至參照的 URL 或網址。網際網路狀況會使得部分參照有時可能無法使用。電腦或網路可能無法使用、檔案可能已移動或刪除，或是檔案或網頁可能以由其他內容所取代。 如果您認為某個參照不正確，請使用每個 X-Force 資料庫網頁底部的更正或新增鏈結通知我們。

標準是安全研究人員指稱特定安全問題時使用的一般名稱。最常見的標準有：CVE - 為安全問題定義標準名稱的 MITRE CVE (通用弱點公告) 計畫 (http://cve.mitre.org/about/)。如需 CVE 計畫的相關資訊，請參閱此常見問題中的「MITRE CVE 問題」部分。BID：BugTraq ID 會提供公用弱點資訊的參照。更多可用的資訊可以在 http://www.securityfocus.com/bid 找到。

此日期是 X-Force 可為此安全問題找到的最早記錄之公開揭示資訊日期。審核或產品相關審核問題可能沒有報告日期，或日期可能設為該產品發生此問題的日期。

ISS 始終鼓勵客戶讓我們知道您可能需要的其他資訊。如果您有對於安全問題相關其他資訊的建議，或對於特定問題有更佳的用語建議，請透過 https://www.iss.net/webForm.php?to=X-Force 傳送訊息給我們。

ISS 將間諜軟體或風險軟體定義為具有下列「任何」屬性的軟體：具有分析和追蹤活動；在安裝和執行應用程式方面沒有使用合理的方式取得使用者同意；記憶體、CPU 或一般資源使用量高到不合理程度；其應用導致使用者的機器不穩定；其應用在其他商用或業界認可的安全組織內歸類為間諜軟體或風險軟體。

太好了！如果您對於特定的安全性問題有疑問，請使用每個 X-Force 資料庫網頁底部的更正或新增鏈結通知我們。

每個安全問題的「補救」部分通常會提供如何修正發生問題的產品之相關指示。關於所有協力廠商產品，您應聯絡產品製造商或轉銷商，以取得詳細資訊或指示。

您可以使用每個 X-Force 資料庫網頁底部的更正或新增鏈結提供我們有關特定安全問題的額外資訊，也可以使用位於 https://www.iss.net/webForm.php?to=X-Force 的表單傳送訊息給我們。請記得提供安全問題的參照，並加上您的意見。盡可能提供最多的詳細資訊，例如下列資訊：印刷或文書錯誤；不完整的受影響平台、參照或標準清單；不完整或不正確的補救措施。X-Force 不能變更下列資訊，除非資訊違反我們的選取準則：風險層級；重要性。

您可以使用對您的產品有影響之特定 X-Force 資料庫網頁底部的更正或新增鏈結，將相關情況通知我們。為促進研究進行，請加入問題有誤的公開宣告參照（例如郵寄清單中的反證回覆）或能讓 X-Force 研究人員判斷問題無效的足夠證據。我們只能在有證據證明該問題不合理的情況下移除安全問題。我們不能移除先前或目前版本軟體中存在的安全性問題，即使已有可用的修補程式或修正程式。

雖然 X-Force 會在我們的資料庫中記錄弱點發現者的名字，為維護隱私，此資訊並不會公開顯示。

雖然我們允許鏈結到 X-Force 資料庫中的內容，您應參考使用條款 (http://www.ibm.com/legal/us/en/) 以取得使用資料的詳細相關規則。如果您想要在您的產品或網站中使用 X-Force 資料庫內容，請參閱下個問題。

請申請加入 IBM 事業夥伴。請使用此安全線上聯絡表單寄送電子郵件給我們。請加入您的聯絡資訊和想要的資料庫資訊使用方法說明。如需相關資訊，您也可以使用 1-800-776-2362 號碼來電。IBM ISS 業務開發團隊將會連絡您關於授權條款與定價方面的問題。

安全問題的通用弱點公告 (CVE) 計畫標準化名稱。更多有關 CVE 計畫的資訊可以在 http://cve.mitre.org/about/ 找到。

CVE 名稱是特定安全問題的標準化標籤。

CVE 名稱通常會顯示在供應商的安全諮詢內容、安全性產品的報告，或搜尋器的弱點資訊揭露報告中。例如，供應商可能會將安全問題稱為 CVE-2007-0000。

IBM X-Force 是 CVE 的建立成員之一，且自 1998 年此計畫開始時即持續支援。X-Force 的發行內容和資料會依照 CVE 計畫所提出的必要條件與建議，包含 CVE 名稱、提供搜尋功能，且記錄我們使用和更新 CVE 名稱的過程。

X-Force 資料庫團隊會每天更新 CVE 候選名稱。在發出新 CVE 版本通知後，X-Force 會在取得 CVE 名稱清單後數小時到數天內更新 X-Force 資料庫中的 CVE 名稱，視清單的大小而定。

X-Force 會致力將內容與公用 CVE 名稱保持完全相符。除了每日更新的 CVE 候選名稱外，X-Force 資料庫支援的現行 CVE 版本為 20061101。

在 X-Force 資料庫中，CVE 名稱會顯示在標題為「參照」的部分。此部分會顯示在每個網頁接近底部的位置。如果此安全問題有任何 CVE 名稱，會以字母順序列出。

有許多方式可以讓您使用安全問題的 CVE 名稱，在 X-Force 資料庫中找出問題。X-Force 在 http://xforce.iss.net/xforce/search.php 上提供了搜尋引擎，您可以在此輸入CVE 名稱（在此範例中為 CVE-2007-0000）並搜尋 X-Force 資料庫。提示：如果您在使用 ISS 搜尋引擎時省略 CVE 或 CAN 字首，往往可以更容易找到 CVE 名稱。例如，使用 "-2007-0000" 取代 "CVE-2007-0000"。您可以使用遵循以下範例的網址： http://xforce.iss.net/xforce/search.php?type=2&pattern=CVE-2007-0000; http://xforce.iss.net/xforce/search.php?type=2&pattern=2007-0000. 您可以使用常用的搜尋引擎，在 X-Force 資料庫中尋找 CVE 名稱。

是的，一般會。為協助我們的客戶找到含有 CVE 名稱的有效安全問題，在驗證安全問題和 CVE 名稱之間的關聯時，X-Force 會使用所有 CVE 名稱。我們處理這些特殊 CVE 名稱的方法如下：CVE 候選名稱 - 尚未經 CVE 審查者核准的 CVE 名稱。如果 X-Force 得知某個有效的安全問題使用可靠的 CVE 候選名稱，我們會將其加入 X-Force 資料庫。CVE 保留名稱 - 供應商和研究人員可能會在某個安全問題公開揭露前保留 CVE 名稱。在公開揭露時，CVE 網站可能需要幾天才會顯示問題的最終說明。CVE 拒絕名稱 - CVE 計畫偶爾也會拒絕 CVE 名稱。X-Force 會記錄和顯示拒絕的 CVE 名稱，在客戶使用拒絕的 CVE 名稱提及問題時提供客戶完整資訊。