Ansvarlig avsløring

Ansvarlig Avsløring refererer til beste praksis som følges av de fleste sikkerhetsforskere med å ikke avsløre en kritisk sårbarhet i et programvareprodukt inntil en leverandøroppdatering eller -rettelse er gjort lett tilgjengelig. Dette spiller ofte inn når team som Googles prosjekt null, et team opprettet for å oppdage og fikse sikkerhetshull, oppdage sårbarheter og ikke offentliggjøre informasjonen. Grunnen til at sikkerhetsanalytikere og forskere ikke kan dele informasjonen offentlig er at hackere og cyberkriminelle er ofte mye raskere til å angripe og utnytte den annonserte sårbarheten enn leverandører kan produsere en oppdatering, og kunder kan distribuere den oppdateringen for å beskytte seg selv og sine nettverk, data og systemer. Det er derfor dette kalles ansvarlig offentliggjøring og regnes som beste praksis, selv om det ikke finnes noen lover som tvinger sikkerhetsforskere til å følge dette. 

Relaterte vilkår: Bug Bounty-programmer,Sårbarhet, Zero Day sårbarhet

Relatert Reading: Utfordringene med cyberforskning og sårbarhetsavsløring for tilkoblede helseenheter

kilde: CSO på nett

Bør små og mellomstore bedrifter være kjent med ansvarlig offentliggjøring?

Ja. Mange små og mellomstore bedrifter utvikler programvare for distribusjon og bruk på nett. Som eier av en liten og mellomstor bedrift bør du vurdere å annonsere en Bug Bounty-programmet for produktet ditt som oppmuntrer til «ansvarlig avsløring av sikkerhetsforskere. Dette er et lite økonomisk insentiv for folk som finner en kritisk feil i programvaren din, til å gi den til deg i stedet for å selge den på det mørke eller dype nettet.

For det andre bør små og mellomstore bedrifter ha en prosess for håndtering av sårbarheter (også kjent som VAMP) som skisserer tidslinjene for å oppdatere kritiske sårbarheter i programvaren og maskinvaren du bruker til å drive virksomheten din. For feil med alvorlighetsgrad 1 som eksternt kan kompromittere nettverket, dataene eller systemene dine, må du oppdatere så snart som mulig.

CyberHoot har en VAMP-prosess for å veilede små og mellomstore bedrifter i å utvikle sine egne beste praksiser knyttet til nulldagssårbarheter, oppdateringer og ansvarlig avsløring.

For mer informasjon om ansvarlig avsløring av sårbarheter hos maskinvare- og programvareleverandører, se denne videoen:

https://youtube.com/watch?v=t5UKO4jjevw

Gjør du nok for å beskytte bedriften din?

Registrer deg hos CyberHoot i dag og sov bedre når du vet at du

ansatte er cybertrente og på vakt!

Registrer deg i dag!