in

¿Qué es un programa de divulgación de vulnerabilidades y necesita uno?


¿Qué es un programa de divulgación de vulnerabilidades?

Un VDP es un método estructurado que cualquiera puede usar para informar vulnerabilidades. Los VDP deben tener un proceso para recibir un informe de vulnerabilidad, priorizar y remediar las vulnerabilidades y establecer expectativas para acciones de seguimiento tales como: B. remediar, incluir.

Por qué todas las organizaciones necesitan un programa de divulgación de vulnerabilidades

Los VDP ofrecen lugar central para que terceros informen una vulnerabilidad para que los equipos de seguridad puedan evaluarla y solucionarla rápidamente.

Los VDP reducen la probabilidad de que alguien cometa un error en público sin el conocimiento de la organización. Cuando alguien que encuentra una vulnerabilidad comete un error público, está haciendo que tanto los clientes como los ciberdelincuentes sean conscientes de la vulnerabilidad. Esta práctica daña la imagen de la marca y expone a la empresa a riesgos innecesarios. El lenguaje dentro del VDP protege a aquellos que envían informes de vulnerabilidad de acciones legales y ofrece a los buscadores un proceso para informar y revelar cualquier vulnerabilidad encontrada. Cuando una vulnerabilidad se envía directamente a las organizaciones para su corrección, los empleados pueden priorizar el error, desarrollar un parche e informar a los buscadores de sus condiciones. Como resultado de un proceso de detección de vulnerabilidades, las organizaciones pueden combatir la divulgación pública de vulnerabilidades.

Informar las vulnerabilidades directamente a una organización en una forma coordinada de divulgación se considera una mejor práctica, de acuerdo con muchos mandatos globales. los Departamento de Defensa (DoD) utiliza VDP para proteger sus sistemas de acceso público y aprovechar el conocimiento de los piratas informáticos de todo el mundo.

Los piratas informáticos pueden descubrir vulnerabilidades como la falsificación y la creación de secuencias de comandos entre sitios, los ataques de inyección de SQL y la escalada de privilegios a través de un VDP. Descubrir estas vulnerabilidades antes de que lo hagan los actores malintencionados permite a las empresas corregir las vulnerabilidades antes de que los ciberdelincuentes las exploten.

Los VDP también brindan una mejor comprensión del tipo, la cantidad y la gravedad de las vulnerabilidades que enfrentan las empresas.. Comprender la superficie de ataque y los tiempos de resolución promedio permite a las empresas mejorar sus procesos operativos y abordar proactivamente la ciberseguridad.

Los VDP pueden ayudar a las empresas a aprobar auditorías y demostrar el cumplimiento a través de informes de certificación. El Instituto Nacional de Estándares y Tecnología (NIST), en Una actualización de 2020 sobre sus «Controles de privacidad y seguridad de los sistemas de información» describió las mejores prácticas para las organizaciones que buscan mitigar el riesgo y posicionó los VDP como un componente central de cualquier estrategia de seguridad.

Otro estándar publicado por ISO 29147 ofrece a los proveedores requisitos y recomendaciones para la divulgación de vulnerabilidades en productos y servicios.

Cada VDP exitoso consta de al menos cinco componentes centrales. Todos juegan un papel crucial y protegen la relación entre el buscador y la empresa. A continuación encontrará descripciones de los componentes y explicaciones de su significado.

Declaración de promesa

La declaración de promesa permite que todos sepan por qué una organización tiene un VDP. La declaración de promesa de una organización muestra al público que es proactiva con respecto a las vulnerabilidades y se toma en serio las amenazas. Con una declaración de apertura, las empresas muestran a sus clientes e inversores cuánto está comprometida la empresa con la ciberseguridad continua, además de la formación de investigadores.

alcance

El alcance define los sistemas y productos especificados para la investigación de seguridad. Las pautas de alcance enumeran los dominios y productos que son adecuados para las pruebas y también restringen ciertas áreas para las pruebas de piratas informáticos.

Muchas organizaciones prohíben las pruebas que afectan su productividad. Los ataques de fuerza bruta y los intentos de ingeniería social son solo algunas de las pruebas a menudo restringidas. Consulte la Figura 1 a continuación para ver el programa VDP público HackerOne de Instacart, que muestra los activos dentro y fuera del alcance.

8.5

8.5 Ámbito de aplicación
Figura 1: Activos dentro y fuera del alcance para Instacart VDP

Refugio seguro

Safe Harbor promueve un VDP seguro y productivo al proteger a quienes revelan vulnerabilidades de acciones legales. Esta sección es importante para proteger a los piratas informáticos y animarlos a publicar errores a través del canal oficial de una organización.

Los piratas informáticos que encuentran un error a menudo evitan revelarlo porque el riesgo de una acción legal es demasiado grande o no se comprende. Sin una sección detallada de Safe Harbor, los piratas informáticos pueden evitar la divulgación por temor a represalias. HackerOne incluye el idioma Safe Harbor de forma predeterminada para todos los nuevos lanzamientos de VDP.

Refugio seguro

descripción del proceso

La descripción del proceso describe el proceso de notificación y reparación. Los informes deben incluir la gravedad de la vulnerabilidad, cómo un atacante podría aprovecharla y cómo los desarrolladores podrían reproducir el problema. Esta información ayuda a los equipos de seguridad a priorizar las amenazas y validar rápidamente las nuevas divulgaciones. Una descripción completa del proceso puede acortar drásticamente el tiempo de resolución y minimizar el riesgo de ataque mediante la priorización.

Las divulgaciones de vulnerabilidades pueden carecer de los detalles que el equipo de remediación necesita para validar y resolver el problema sin una descripción del proceso. La falta de una descripción puede ralentizar el proceso de parcheo y hacer que los sistemas estén disponibles más tiempo del necesario.

proceso

ajustes

La sección Configuración establece expectativas sobre cómo su organización evaluará los informes. El flujo de trabajo del proceso debe incluir los tiempos de respuesta esperados, si la organización publica errores y si el pirata informático recibe confirmación después de la reparación.

La comunicación es esencial para construir relaciones sólidas entre los piratas informáticos y las organizaciones. Los piratas informáticos quieren saber que las organizaciones observan sus envíos y los toman en serio. De lo contrario, los piratas informáticos frustrados pueden revelar de forma prematura y pública vulnerabilidades de seguridad si creen que una empresa no está respondiendo o trabajando activamente en un error conocido.

El proceso de comunicación también ayuda a los equipos internos a priorizar y corregir errores mientras establecen objetivos de respuesta y resolución basados ​​en el tiempo. Independientemente del tiempo que se tarde en corregir un error, la comunicación transparente entre las empresas y los piratas informáticos genera confianza en el VDP.

Las preferencias de las organizaciones ayudan a remediar y controlar cómo se hace la divulgación. Si bien muchos lo ven como una mejor práctica para publicar errores, no es obligatorio. Las organizaciones que trabajan en proyectos sensibles pueden optar por publicar parches y no publicar errores públicamente.

Cómo puede ayudar HackerOne

En el pasado, desarrollar un VDP requería una inversión significativa de tiempo y dinero. Las empresas suelen desarrollar directrices desde cero, crear nuevos canales de comunicación y comercializar sus plataformas.

HackerOne respuesta proporciona todas las herramientas necesarias para iniciar un VDP exitoso desde una única plataforma. Nuestra configuración lista para usar hace que sea fácil configurar un flujo de trabajo de divulgación de vulnerabilidades que cumpla con las políticas y que cumpla con las normas para una seguridad continua. Contáctenos para comenzar con su VDP hoy.

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El análisis de 80 millones de ejemplos de ransomware muestra que un mundo está siendo atacado

El gobernador de Missouri promete procesar a St. Louis por denunciar violaciones de seguridad después de publicarlas – Cancer on Security