Ответственное раскрытие

Ответственный Разглашение относится к лучшей практике, которой придерживаются большинство исследователей безопасности, а именно неразглашению критически важной информации. уязвимость в программном продукте до тех пор, пока не появится патч или исправление от поставщика. Это часто имеет значение, когда такие команды, как Нулевой проект Google, команда, созданная для обнаружения и устранения уязвимостей безопасности, а также для их устранения, не разглашая информацию общественности. Причина, по которой аналитики и исследователи безопасности не могут делиться информацией публично, заключается в том, что Хакеры и кибер-преступники Зачастую атаковать и эксплуатировать заявленную уязвимость гораздо быстрее, чем поставщики могут выпустить исправление, и клиенты могут установить это исправление, чтобы защитить себя, свои сети, данные и системы. Именно поэтому это называется ответственным раскрытием информации и считается передовой практикой, хотя законов, обязывающих исследователей безопасности следовать этому правилу, не существует. 

Связанные термины: Программы Баунти Бага,Уязвимость, Уязвимость нулевого дня

Связанные Чтение: Проблемы киберисследований и раскрытия уязвимостей для подключенных медицинских устройств

Источник: CSO Online

Должны ли представители малого и среднего бизнеса быть знакомы с принципами ответственного раскрытия информации?

Да. Многие предприятия малого и среднего бизнеса разрабатывают программное обеспечение для распространения и использования в Интернете. Как владелец предприятия малого и среднего бизнеса, вам стоит рассмотреть возможность рекламы Баг Баунти программа для вашего продукта, который поощряет «ответственное раскрытие информации» от исследователей безопасности. Это небольшой финансовый стимул для тех, кто обнаружил критическую уязвимость в вашем программном обеспечении, чтобы они сообщили об этом вам, а не продавали его в даркнете или теневой сети.

Во-вторых, предприятиям малого и среднего бизнеса следует внедрить процесс управления оповещениями об уязвимостях (VAMP), который определяет целевые сроки устранения критических уязвимостей в программном и аппаратном обеспечении, используемых для ведения бизнеса. Ошибки уровня 1, которые могут удалённо поставить под угрозу вашу сеть, данные или системы, необходимо устранить как можно скорее.

CyberHoot использует процесс VAMP, который помогает малым и средним предприятиям разрабатывать собственные передовые практики, касающиеся уязвимостей нулевого дня, установки исправлений и ответственного раскрытия информации.

Для получения дополнительной информации об ответственном раскрытии информации об уязвимостях поставщикам оборудования и программного обеспечения посмотрите это видео:

https://youtube.com/watch?v=t5UKO4jjevw

Достаточно ли вы делаете для защиты своего бизнеса?

Зарегистрируйтесь в CyberHoot сегодня и спите лучше, зная свой

Сотрудники прошли киберподготовку и всегда начеку!

Зарегистрироваться Сегодня!