Publicarea (responsabilă a) vulnerabilităților

2017/03/24
Popularitate 1107

Foto: CERT-RO

 

Vulnerabilitățile informatice  sunt ”slăbiciuni” ale unui sistem sau program informatic pe care un atacator le poate exploata pentru a compromite confidențialitatea, disponibilitatea sau integritatea unei resurse informatice. Managementul vulnerabilităților este ansamblul de procese menite să asigure succesiv identificarea, clasificarea, evaluarea și eliminarea vulnerabilităților.

Dacă în articolul anterior  arătam rolul esențial pe care îl are ajutorul benevol dat de cercetătorii în securitate cibernetică prin semnalare, astăzi vă atragem atenția asupra altei etape a ciclului de management al vulnerabilităților: publicarea acestora.

Cercetătorii care identifică și raportează vulnerabilitățile publică specificațiile tehnice ale vulnerabilităților împreună cu soluțiile adoptate, aducându-le la cunoștința comunității largi de cercetători, producători și administratori de sisteme și programe informatice.  Publicarea se face de regulă după remedierea acestora, eventual în acord cu celelalte părți implicate, fiind de natură a contribui pe plan mai larg la ameliorarea climatului de securitate cibernetică, permițând tuturor entităților afectate să ia măsurile necesare referitoare la dispozitivele sau programele vulnerabile.

Asigurarea securității cibernetice necesită atât responsabilitate cât și cooperare și deschidere din partea tuturor entităților implicate. Dacă pentru cercetători pot fi importante rezultatele sau contribuția la binele comun, pentru entitățile care instituie mecanisme de primire a notificărilor de vulnerabilități de la public și care le introduc în procesul de analiză-confirmare-remediere, câștigul îl constituie încrederea clienților privind grija pe care entitatea o acordă datelor acestora și implicit siguranța afacerii sau funcționării sistemelor pe viitor.

Ca exemplu de publicare și în completarea studiului de caz din articolul trecut, găsiți mai jos trimiteri către descrierile tehnice a vulnerabilităților identificate de către Roland Bogosi în aplicațiile de mobile-banking a două instituții bancare și publicate de acesta după remedierea cu concursul băncilor și al CERT-RO.

Reinventing the Wheel is not Best Practice

The State of Mobile Banking Security


Vizualizat de 2152 ori