Divulgazione responsabile

Responsabile Rivelazione si riferisce alla migliore pratica seguita dalla maggior parte dei ricercatori sulla sicurezza di non divulgare un dato critico vulnerabilità in un prodotto software finché una patch o una correzione del fornitore non sia stata resa disponibile. Questo spesso entra in gioco quando team come Progetto Zero di Google, un team creato per scoprire e correggere falle di sicurezza, scoprire una vulnerabilità e non divulgare le informazioni al pubblico. Il motivo per cui gli analisti e i ricercatori della sicurezza non sono in grado di condividere pubblicamente le informazioni è che hacker e criminali informatici Spesso sono molto più rapidi ad attaccare e sfruttare la vulnerabilità annunciata rispetto a quanto i fornitori possano produrre una patch, e i clienti possono implementare tale patch per proteggere se stessi, le proprie reti, i propri dati e i propri sistemi. Per questo motivo, questa pratica viene definita "Responsible Disclosure" ed è considerata una buona pratica, sebbene non esistano leggi che obblighino i ricercatori di sicurezza a seguirla. 

Termini correlati: Programmi Bug Bounty,Vulnerabilità, Vulnerabilità zero-day

Lettura correlata: Le sfide della ricerca informatica e della divulgazione delle vulnerabilità per i dispositivi sanitari connessi

Fonte: CSO online

Le PMI dovrebbero avere familiarità con la divulgazione responsabile?

Sì. Molte PMI sviluppano software per la distribuzione e l'utilizzo online. Come proprietario di una PMI, dovresti valutare la possibilità di pubblicizzare un Programma Bug Bounty per il tuo prodotto che incoraggia “divulgazione responsabile” Dai ricercatori di sicurezza. Si tratta di un piccolo incentivo economico per chi trova una falla critica nel tuo software, per portartela invece di venderla sul Dark o Deep Web.

In secondo luogo, le PMI dovrebbero disporre di un processo di gestione degli avvisi di vulnerabilità (Vulnerability Alert Management Process, VAMP) che definisca le tempistiche previste per la correzione delle vulnerabilità critiche nel software e nell'hardware utilizzati per gestire la propria attività. Per i bug di gravità 1 che potrebbero compromettere da remoto la rete, i dati o i sistemi, è necessario applicare la patch il prima possibile.

CyberHoot si avvale di un processo VAMP per aiutare le PMI a sviluppare le proprie best practice in materia di vulnerabilità Zero-Day, patching e divulgazione responsabile.

Per maggiori informazioni sulla divulgazione responsabile delle vulnerabilità ai fornitori di hardware e software, guarda questo video:

https://youtube.com/watch?v=t5UKO4jjevw

Stai facendo abbastanza per proteggere la tua attività?

Iscriviti oggi a CyberHoot e dormi meglio sapendo il tuo

i dipendenti sono formati in materia informatica e sono sempre in guardia!

Iscriviti Oggi!