Агентство по кибербезопасности и защите инфраструктуры (CISA) совместно с четырьмя международными агентствами по кибербезопасности опубликовало руководство, призывающее производителей программного обеспечения и поставщиков онлайн-услуг создавать программы скоординированного раскрытия уязвимостей (CVD). В документе отмечается, что структурированное взаимодействие с исследователями безопасности может способствовать улучшению управления уязвимостями и повышению безопасности продуктов.
Руководство под названием «Создание программы скоординированного раскрытия уязвимостей для работы с исследователями безопасности», подготовленное совместно с Агентством национальной безопасности США (NSA), Японским центром координации групп реагирования на компьютерные инциденты (JPCERT/CC), Национальным центром кибербезопасности Нидерландов (NCSC-NL) и Национальным центром кибербезопасности Великобритании (NCSC-UK), описывает, как организации могут создавать публичные программы для приема, оценки и реагирования на отчеты об уязвимостях, касающиеся программного обеспечения, аппаратного обеспечения и сетевых продуктов.
Согласно руководству, четко определенная программа CVD позволяет производителям программного обеспечения и поставщикам онлайн-услуг лучше оценивать потенциальные риски, совершенствовать процессы управления уязвимостями и принимать обоснованные решения, укрепляющие безопасность продуктов.
В CISA заявили, что данное руководство поддерживает инициативу Secure by Design, которая призывает поставщиков технологий создавать более безопасные продукты и брать на себя большую ответственность за выявление и устранение уязвимостей.
«Скоординированное раскрытие уязвимостей является основой для создания безопасной программной экосистемы», — заявил в своем заявлении Крис Бутера, исполняющий обязанности помощника директора CISA по кибербезопасности.
«Практики, описанные в этом руководстве, помогают защищать клиентов, укреплять продукты и поддерживать инициативу CISA Secure by Design, которая поощряет компании к прозрачности и ответственности при создании и поддержке своих технологий», — добавил Бутера.
Создание эффективной программы раскрытия информации
Руководство рекомендует организациям публиковать четкую политику раскрытия уязвимостей, описывающую, как исследователи могут сообщать об уязвимостях, какие тестовые действия разрешены, как будут обрабатываться отчеты и чего исследователям следует ожидать в процессе оценки. В CISA отметили, что поддержание связи с исследователями помогает сделать процесс прозрачным и укрепляет доверие между поставщиками и сообществом исследователей безопасности.
Пиюш Шарма, сооснователь и генеральный директор компании по кибербезопасности Tuskira, заявил, что руководство решает ключевые операционные требования как для исследователей, так и для команд безопасности.
«CISA совершенно права, подчеркивая, что раскрытие уязвимостей требует четкого процесса», — сказал Шарма. «Исследователям необходимо знать, куда сообщать об ошибке, а командам безопасности — иметь четко определенную ответственность за проверку, приоритизацию и устранение находок».
Эндрю Костис, руководитель инженерного отдела команды исследования угроз AttackIQ, отметил, что создание канала для отчетности — это лишь начало процесса.
«Создание четкого пути для исследователей, чтобы сообщать об уязвимостях, — это отличный первый шаг, но настоящая работа начинается после того, как отчет поступит», — сказал Костис. «Командам безопасности необходимо понимать, какой доступ к атакуемым системам может получить злоумышленник через эту слабость и насколько срочно ее нужно устранить».
По данным CISA, исследователи безопасности могут помочь производителям программного обеспечения и поставщикам онлайн-услуг выявлять слабые места до того, как они будут использованы, но только если организации предоставят четкий и безопасный механизм для сообщения об уязвимостях.
Приоритизация уязвимостей в масштабе
По словам Шармы, руководство появилось в то время, когда обнаружение уязвимостей с помощью ИИ увеличивает объем находок, которые команды безопасности предприятий должны оценивать и устранять.
«Проблема в том, что обнаружение уязвимостей с помощью ИИ увеличивает объем раскрытий быстрее, чем большинство организаций могут оценить их вручную», — сказал он.
Шарма отметил, что организациям не следует относиться к каждой раскрытой уязвимости как к одинаково срочной. Вместо этого необходимо определять, создает ли ошибка достижимый путь атаки, выявлять подверженные риску активы и оценивать, могут ли существующие средства контроля прервать атаку, пока проводится устранение.
Костис поддержал эту точку зрения, заявив, что управление уязвимостями должно фокусироваться на эксплуатабельности, а не только на оценках серьезности.
«Нельзя рассматривать уязвимости как изолированные находки или приоритизировать их только по степени серьезности», — сказал он. «Командам необходимо понимать, как слабое место связано с остальной частью их среды и создает ли оно жизнеспособный путь к критическим системам».
Там, где исправления недоступны, Шарма отметил, что проверка компенсирующих мер контроля может значительно снизить риск для предприятия до завершения устранения.
Костис добавил, что организациям также следует проверять, что устранение уязвимости ликвидировало эксплуатабельные пути атаки, а не просто подтверждать, что уязвимость была исправлена.
«Закрыть тикет — это одно», — сказал он. «Доказать, что путь атаки разрушен и исправление выдерживает реальное поведение злоумышленников, — совсем другое».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain




