Zodpovedné zverejnenie

Zodpovedný prezradenia odkazuje na osvedčený postup, ktorý dodržiava väčšina bezpečnostných výskumníkov, a to nezverejňovanie kritických zraniteľnosť v softvérovom produkte, kým nie je ľahko dostupná záplata alebo oprava od dodávateľa. Toto často prichádza do úvahy, keď tímy ako napríklad Google Project Zero, tím vytvorený na objavovanie a opravovanie bezpečnostných chýb, odhaľovanie zraniteľností a nezverejňovanie informácií verejnosti. Dôvod, prečo bezpečnostní analytici a výskumníci nemôžu zdieľať informácie verejne, je ten, že hackeri a počítačoví zločinci často sú oveľa rýchlejšie pri útokoch a zneužívaní oznámenej zraniteľnosti, ako sú dodávatelia schopní vytvoriť záplatu, a zákazníci môžu túto záplatu nasadiť na ochranu seba a svojich sietí, údajov a systémov. Preto sa to nazýva zodpovedné zverejňovanie a považuje sa to za osvedčený postup, hoci neexistujú žiadne zákony, ktoré by nútili bezpečnostných výskumníkov dodržiavať ho. 

Súvisiace podmienky: Bug Bounty programy,Zraniteľnosť, Zraniteľnosť Zero Day

Súvisiace čítanie: Výzvy kybernetického výskumu a zverejňovania zraniteľností pre pripojené zdravotnícke zariadenia

zdroj: Online CSO

Mali by byť malé a stredné podniky oboznámené so zodpovedným zverejňovaním informácií?

Áno. Mnoho malých a stredných podnikov vyvíja softvér na online distribúciu a používanie. Ako vlastník malého a stredného podniku by ste mali zvážiť inzerciu... Program Bug Bounty pre váš produkt, ktorý povzbudzuje „zodpovedné zverejňovanie informácií“ bezpečnostnými výskumníkmi. Ide o malý finančný stimul pre ľudí, ktorí nájdu kritickú chybu vo vašom softvéri, aby vám ho priniesli namiesto predaja na dark alebo deep webe.

Po druhé, malé a stredné podniky by mali mať proces správy upozornení na zraniteľnosti (Vulnerability Alerts Management Process, známy aj ako VAMP), ktorý stanovuje cieľové časové harmonogramy pre opravu kritických zraniteľností v softvéri a hardvéri, ktoré používate na prevádzku svojho podniku. V prípade chýb so závažnosťou 1, ktoré by mohli vzdialene ohroziť vašu sieť, dáta alebo systémy, je potrebné ich čo najskôr opraviť.

CyberHoot má proces VAMP, ktorý pomáha malým a stredným podnikom vyvíjať vlastné osvedčené postupy týkajúce sa zraniteľností typu Zero-Day, ich opravovania a zodpovedného zverejňovania.

Viac informácií o zodpovednom zverejňovaní zraniteľností dodávateľom hardvéru a softvéru nájdete v tomto videu:

https://youtube.com/watch?v=t5UKO4jjevw

Robíte dosť pre ochranu svojho podnikania?

Zaregistrujte sa ešte dnes na CyberHoot a spite lepšie s vedomím svojho...

Zamestnanci sú vyškolení v oblasti kybernetickej bezpečnosti a sú v strehu!

Zaregistrujte sa ešte dnes!