Làm thế nào để xử lý việc tiết lộ công khai các lỗi và lỗ hổng bảo mật

0
8

        90% các chuyên gia bảo mật nói có, theo một cuộc thăm dò được thực hiện bởi 451 Research và được ủy quyền bởi công ty kiểm tra bảo mật Veracode.
    

        
                                                                                    
                        

                 ] ]
    

     Chuyên gia bảo mật Frank Abagnale: Bỏ thẻ ghi nợ và đóng băng tín dụng của bạn
     Con người đã biến chuyên gia an ninh mạng Frank Abagnale nói chuyện với Karen Roby của TechRepublic về các bước mà mọi người có thể thực hiện để bảo vệ danh tính của họ và khuyến khích thực hành tín dụng tốt hơn.
    

    

Các nhà nghiên cứu bảo mật nên làm gì khi phát hiện ra lỗ hổng bảo mật trong chương trình phần mềm hoặc một phần công nghệ khác? Câu hỏi đó thường dẫn đến sự bất đồng, tranh luận và xung đột giữa các bên liên quan. Nhà nghiên cứu có nên tiết lộ ngay sự tồn tại của lỗi mà không liên hệ với nhà phát triển hoặc nhà cung cấp trước không? Có nên giữ bí mật cho đến khi nhà phát triển có cơ hội sửa nó? Cả nhà nghiên cứu và nhà phát triển có nên báo cáo lỗi cho công chúng để cảnh báo họ về vấn đề này trước khi có bản sửa lỗi không? Một nghiên cứu được công bố vào thứ tư bởi nhà cung cấp bảo mật Veracode xem xét vấn đề nhức nhối về cách các lỗ hổng bảo mật được báo cáo và cách các chuyên gia trong ngành cân nhắc về vấn đề này.

XEM: 10 lỗ hổng ứng dụng nguy hiểm cần đề phòng (PDF miễn phí) (TechRepublic)

và được thực hiện bởi 451 Research, cuộc khảo sát đã đặt câu hỏi cho một nhóm các chuyên gia công nghệ và bảo mật bao gồm các nhà phát triển, nhân viên bảo mật CNTT, người kiểm tra thâm nhập của bên thứ ba và các nhà nghiên cứu bảo mật độc lập với nhiều trách nhiệm khác nhau. . Tuy nhiên, hầu hết các nhà nghiên cứu phát hiện ra lỗi không tin rằng họ nên tự mình tiết lộ kết quả mà không thông báo trước cho nhà phát triển. Chỉ 9% số người được hỏi xác định lỗ hổng bảo mật nói rằng họ đã thực hiện lộ trình tiết lộ đầy đủ, nghĩa là họ đã tiết lộ lỗi công khai thay vì báo cáo cho nhà phát triển hoặc nhà cung cấp.

Nhận thức là các nhà cung cấp và công ty phần mềm không luôn luôn hành động đủ nhanh hoặc hiệu quả khi một nhà nghiên cứu báo cáo lỗi trong một trong các sản phẩm của họ. Nhưng 75% các công ty được khảo sát cho biết họ có một quy trình được thiết lập để nhận báo cáo lỗi từ các nhà nghiên cứu. Hầu hết trong số họ cho biết họ duy trì một quy trình như một khía cạnh của sự chăm sóc thích hợp, nhưng ít nhất một phần ba thừa nhận rằng họ bị thúc đẩy bởi nỗi sợ công khai đầy đủ về lỗi này.

Một nhận thức khác là các nhà nghiên cứu phát hiện ra lỗi và các nhà cung cấp chịu trách nhiệm sửa chúng không phải lúc nào cũng làm việc trơn tru để tiết lộ hoặc chia sẻ thông tin về lỗi. Tuy nhiên, khoảng 37% các tổ chức được thăm dò cho biết họ đã nhận được một báo cáo tiết lộ không mong muốn từ một nhà nghiên cứu trong 12 tháng qua. Và trong nhóm đó, 90% các lỗ hổng được tiết lộ theo cách phối hợp giữa các nhà nghiên cứu và tổ chức.

Nhưng ngay cả sau khi báo cáo lỗi, các nhà nghiên cứu không muốn bị loại ra khỏi bức tranh và thường bị thúc đẩy bởi mong muốn cải thiện an ninh. Một số 57% các nhà nghiên cứu cho biết họ hy vọng sẽ được nhà phát triển thông báo khi lỗ hổng được khắc phục, trong khi 47% mong đợi các bản cập nhật thường xuyên về bản sửa lỗi và 37% muốn có khả năng xác thực bản sửa lỗi khi nó sẵn sàng. Chỉ 18% các nhà nghiên cứu cho biết họ hy vọng sẽ được trả tiền cho những nỗ lực của họ và chỉ 16% cho biết họ muốn được công nhận cho khám phá của họ.

Các kết quả cho đến nay đã vẽ nên một bức tranh màu hồng khá đẹp về báo cáo lỗi và sự hợp tác giữa các nhà nghiên cứu và nhà phát triển hoặc nhà cung cấp. Tuy nhiên, có một số kink trong quá trình. Các chính sách chấp nhận báo cáo lỗi không được đánh giá vẫn không nhất quán giữa các công ty khác nhau, vì vậy các nhà nghiên cứu có thể không chắc chắn làm thế nào để xử lý một phát hiện lỗi. Ngoài ra, quá trình báo cáo tự nó không nhất thiết dẫn đến một sửa chữa nhanh chóng cho lỗ hổng, ít nhất là không theo quan điểm của các nhà nghiên cứu.

Khoảng 65% các nhà nghiên cứu bảo mật được thăm dò cho biết họ mong đợi một bản sửa lỗi trong vòng chưa đầy 60 ngày sau khi báo cáo lỗi cho nhà phát triển hoặc nhà cung cấp. Tuy nhiên, thời hạn đó có thể quá mạnh mẽ và không thực tế, theo Veracode, cho thấy 70% tất cả các lỗ hổng vẫn tồn tại một tháng sau khi chúng được phát hiện và gần 55% vẫn còn sống sau ba tháng được phát hiện.

Đưa ra lời hứa thanh toán, tiền thưởng lỗi thường được xem là một cách hữu ích để dỗ các nhà nghiên cứu và những người khác săn lùng và báo cáo lỗi. Nhưng thực tế là những tiền thưởng này không nhất thiết phải thực hiện theo lời hứa của họ. Một số 47% tổ chức cho biết họ đã thực hiện các chương trình tiền thưởng lỗi nhưng chỉ 19% báo cáo lỗi họ nhận được đến từ các chương trình tiền thưởng. Vì hầu hết các nhà nghiên cứu dường như bị thúc đẩy nhiều hơn bởi mong muốn về phần mềm bảo mật hơn là bằng tiền, Veracode tin rằng các nhà cung cấp nên chi ít tiền hơn cho tiền thưởng lỗi và nhiều hơn cho phát triển phần mềm bảo mật tìm thấy lỗ hổng trước khi họ phát triển sản phẩm công cộng.

"Sự liên kết mà nghiên cứu tiết lộ là rất tích cực", Giám đốc công nghệ Veracode và đồng sáng lập Chris Wysopal nói trong thông cáo báo chí. Tuy nhiên, thách thức là các chính sách tiết lộ lỗ hổng rất không nhất quán. Nếu các nhà nghiên cứu không chắc chắn cách tiến hành khi họ tìm thấy lỗ hổng, nó sẽ khiến các tổ chức tiếp xúc với các mối đe dọa an ninh, tạo cơ hội cho tội phạm khai thác các lỗ hổng này. Tuy nhiên, ngay cả với những công cụ này, các lỗ hổng mới vẫn được tìm thấy mỗi ngày. Chính sách công bố mạnh mẽ là một phần cần thiết trong chiến lược bảo mật của tổ chức và cho phép các nhà nghiên cứu làm việc với một tổ chức để Một chính sách tiết lộ lỗ hổng tốt sẽ thiết lập các quy trình để làm việc với các nhà nghiên cứu bảo mật bên ngoài, đặt kỳ vọng vào các mốc thời gian và kết quả sửa chữa, và kiểm tra các lỗi và sửa lỗi phần mềm trước khi nó được xuất xưởng. "

Để thu thập dữ liệu cho báo cáo này, 451 Research đã thực hiện khảo sát từ tháng 12 năm 2018 đến tháng 1 năm 2019 bằng cách sử dụng mẫu 1.000 người trả lời trên một loạt các ngành công nghiệp và tổ chức ở Hoa Kỳ, Đức, Pháp, Ý và Anh Những người được hỏi được yêu cầu phải có mức độ quen thuộc từ trung bình đến cao với các mô hình công bố lỗ hổng.

                                                                                

                                                

Cũng xem

 Nhấn nút enter trên máy tính. Khóa hệ thống bảo mật khóa công nghệ trừu tượng thế giới bảo mật mạng liên kết kỹ thuật số trên nền công nghệ cao Màu xanh đậm, Nhập mật khẩu để đăng nhập. Khóa ngón tay Bàn phím "width =" 770 "/> </span><figcaption>
<p>
                                            Hình ảnh Getty / iStockphoto<br />
                                        </p>
</figcaption></figure>
</p></div>
</pre>
<div class=