Debata na temat tego, co stanowi odpowiedzialne ujawnienie działa od około 20 lat i końca nie widać. Nietrudno zrozumieć, dlaczego z pasjonatami badaczy zawsze polującymi na błędy, dużymi rozbieżnościami ze strony dostawców, jeśli chodzi o rozwiązywanie problemów, i reputacją, którą należy zbudować i zachować po obu stronach.
Aby zrozumieć najlepsze podejście do odpowiedzialnego ujawniania informacji, ważne jest, aby CISO najpierw docenili, jak powstają kontrowersje. Najczęstsza przyczyna to sytuacja, w której szczegóły techniczne dotyczące luki w zabezpieczeniach są publikowane, zanim poprawka zostanie udostępniona lub powszechnie zastosowana, zwłaszcza gdy towarzyszy jej łatwy do ponownego wykorzystania kod exploita weryfikujący koncepcję.
Z jednej strony są ci, którzy uważają, że badacze działają nieodpowiedzialnie, umożliwiając prawdziwym napastnikom i zwracając uwagę na problemy. Z drugiej strony są ci, którzy uważają, że takie ujawnienie leży w interesie publicznym – pomagając użytkownikom produktu w podejmowaniu świadomych decyzji i wdrażaniu własnych wykryć i środków łagodzących w przypadku braku poprawki lub poprawki dostawcy.
Najbardziej dojrzali dostawcy oprogramowania stają przed wieloma publicznymi analizami dotyczącymi tego, jak responsywne i odpowiedzialne są ich wysiłki w zakresie ujawniania i naprawy.
Ta debata bez wątpienia będzie trwać nadal. Ale kiedy spojrzysz na wiele kontrowersyjnych pełnych ujawnień, które miały miejsce na przestrzeni lat, komunikacja lub jej brak leży u podstaw. Jasne określenie zasad zaangażowania to długa droga do poprawy rzeczy.
Na przykład, chociaż 90-120 dni jest uważane przez wielu za rozsądny maksymalny czas na naprawę lub ujawnienie opinii publicznej, zgodnie z Projekt Zero: polityka i ujawnianie informacji: edycja 2021, widzieliśmy wiele przypadków, w których dostarczenie pełnej poprawki zgłoszonego błędu zajęło organizacji rok lub dłużej.
Dzieje się tak szczególnie w przypadku mniej dojrzałych firm, zwłaszcza tych wdrażających urządzenia Internetu rzeczy (IoT), które są trudne do zaktualizowania i w dużej mierze polegają na zewnętrznych dostawcach komponentów lub oprogramowania, aby zapewnić poprawkę, którą można następnie zintegrować z ich produktem.
Dobrą wiadomością jest to, że sprawy są znacznie jaśniejsze niż kiedyś dla typowego CISO, zwłaszcza dla tych pracujących dla firm, które nie zajmują się głównie tworzeniem oprogramowania.
Dostępna jest szeroka gama wytycznych i standardów dotyczących dobrych praktyk, takich jak: Zestaw narzędzi do ujawniania podatności NCSC – NCSC.gov.uk oraz ISO – ISO / IEC 29147: 2018 – Technika informatyczna – Techniki bezpieczeństwa – Ujawnianie podatności. Zapewniają one CISO i kierownikom ds. bezpieczeństwa jasne porady dotyczące ustanawiania kanałów komunikacji i określania oczekiwań. CISO mogą rozpowszechniać je za pośrednictwem witryny internetowej swojej organizacji lub ułatwić ich odnalezienie, przyjmując nowy standard security.txt (security.txt: Proponowany standard definiowania polityk bezpieczeństwa (securitytxt.org)).
Nagrody za błędy ułatwiają także organizacjom proaktywne pozyskiwanie zgłoszeń błędów od publicznych badaczy. Mają one jednak raczej uzupełniać niż zastępować dobrze zorganizowany i ustrukturyzowany program zapewniania bezpieczeństwa. Powinny im również towarzyszyć inwestycje w zespoły do segregacji i szybkiego rozwiązywania błędów przychodzących.
Przyjęcie powyższych punktów powinno ułatwić badaczowi bezpieczeństwa zorientowanie się, gdzie zgłosić luki w zabezpieczeniach i zmniejszyć ryzyko, że raporty o lukach zostaną utracone w niemonitorowanej skrzynce pocztowej. Ustaliliby również oczekiwania dotyczące tego, jak długo potrwa naprawa i czy badacz może oczekiwać nagrody lub potwierdzenia za zgłoszenie problemu.
Większość badaczy poczeka z opublikowaniem luki w zabezpieczeniach, jeśli można się skontaktować z organizacją, odpowiada ona i zapewnia regularne aktualizacje oznaczające, że postępuje z poprawką.
Oprócz tego, CISO i zespoły ds. bezpieczeństwa powinni uważnie śledzić głośne publiczne ujawnienia i wiadomości branżowe, aby byli świadomi najnowszych niezałatanych lub aktywnie wykorzystywanych luk w zabezpieczeniach i mogli szybko reagować, gdy coś wykracza poza standardowy cykl zarządzania poprawkami potrzebne.
Podsumowując, obecnie dostępnych jest wiele narzędzi i wskazówek, dzięki którym CISO mogą dobrze radzić sobie z ujawnianiem luk w zabezpieczeniach. Większość osób zgłaszających autentyczne luki w zabezpieczeniach ma dobre intencje – jasna komunikacja i dobre zarządzanie dowolnym programem ujawniania informacji jest kluczem do zminimalizowania problemów. Wszystko, co pomaga wzmocnić bezpieczeństwo i chroni firmy przed prawdziwymi złośliwymi hakerami, musi być dobre i powinno być przyjęte przez CISO.