Divulgação Responsável

Responsável Divulgação refere-se à melhor prática seguida pela maioria dos pesquisadores de segurança de não divulgar uma informação crítica vulnerabilidade em um produto de software até que um patch ou correção do fornecedor esteja prontamente disponível. Isso geralmente entra em jogo quando equipes como Projeto Zero do Google, uma equipe criada para descobrir e corrigir falhas de segurança, descobrir uma vulnerabilidade e não divulgar as informações ao público. O motivo pelo qual os analistas e pesquisadores de segurança não conseguem compartilhar as informações publicamente é que hackers e cibercriminosos Os ataques e explorações de vulnerabilidades anunciadas costumam ser muito mais rápidos do que os fornecedores conseguem produzir um patch, e os clientes podem implantar esse patch para proteger a si mesmos e suas redes, dados e sistemas. É por isso que isso é chamado de Divulgação Responsável e é considerado uma prática recomendada, embora não existam leis que obriguem os pesquisadores de segurança a segui-la. 

Termos relacionados: Programas de recompensa de bug,Vulnerabilidade, Vulnerabilidade de dia zero

Leitura relacionada: Os desafios da pesquisa cibernética e da divulgação de vulnerabilidades para dispositivos de saúde conectados

Fonte: CSO Online

As PMEs devem estar familiarizadas com a Divulgação Responsável?

Sim. Muitas PMEs desenvolvem software para distribuição e uso online. Como proprietário de uma PME, você deve considerar anunciar um Programa Bug Bounty para o seu produto que incentiva “divulgação responsável” por pesquisadores de segurança. Este é um pequeno incentivo financeiro para que pessoas que encontrem uma falha crítica no seu software a tragam para você em vez de vendê-la na Dark Web ou Deep Web.

Em segundo lugar, as PMEs devem ter um Processo de Gerenciamento de Alertas de Vulnerabilidade (também conhecido como VAMP) que defina os prazos para a correção de vulnerabilidades críticas no software e hardware que você usa para administrar seus negócios. Para bugs de Severidade 1, que podem comprometer remotamente sua rede, dados ou sistemas, você precisa corrigir o mais rápido possível.

A CyberHoot tem um processo VAMP para ajudar a orientar as PMEs a desenvolver suas próprias práticas recomendadas relacionadas a vulnerabilidades de Dia Zero, aplicação de patches e divulgação responsável.

Para mais informações sobre a divulgação responsável de vulnerabilidades para fornecedores de hardware e software, assista a este vídeo:

https://youtube.com/watch?v=t5UKO4jjevw

Você está fazendo o suficiente para proteger seu negócio?

Cadastre-se no CyberHoot hoje e durma melhor sabendo que seu

Os funcionários são treinados cibernéticos e estão em alerta!

Inscreva-se hoje!