Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 19.04.2016, 09:04   #1026
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 260

kroxus вне форума

IT-безопасность-свежие новости.


Пора взломать всю планету

Сегодня мы отмечаем важную веху в довольно монотонном мире исследования уязвимостей. Работа над стандартом ISO с несколько эмоционально окрашенным названием «Ответственное раскрытие информации об уязвимостях» («Responsible Vulnerability Disclosure») началась 11 лет назад; итоговый вариант был опубликован в начале 2014 под кодом ISO/IEC 29147. Сегодня его можно скачать бесплатно.

Одна из основных претензий к стандарту ISO заключалась в том, что все компании, желающие ему соответствовать, должны были платить за это. В сущности, недоступность стандарта широкой публике стала причиной того, что Министерство торговли США наладило многосторонний процесс под эгидой Национального управления США по телекоммуникациям и информационным технологиям (NTIA) с целью стимулировать совместные усилия ИБ-исследователей и организаций в раскрытии уязвимостей.

Теперь же компании впервые могут соответствовать международно признанным рекомендациями (пусть и в форме стандарта ISO) при работе со сторонними отчетами об уязвимостях. Таким образом, существуют общие правила о том, как принимать отчеты от людей и организаций, как распространять информацию об уязвимости и ее масштабах, как минимизировать ущерб и закрыть брешь. Так как 94% компаний из списка Forbes Global 2000 не имеют налаженного механизма приема отчетов об уязимостях, наличие бесплатного стандарта ISO невероятно важно для повышения осведомленности в сфере информационной безопасности и внедрения одной из самых важных ИБ-практик для любой организации, коммерческой или правительственной. В последние годы растущее количество компаний оценило результат работы с хакерским сообществом: это видно по большому числу программ bug bounty, в рамках которых хакеры получают вознаграждение за обнаружение уязвимостей. От первых выплат, организованных Netscape в середине 90-х, до запуска нескольких программ Google в 2010 году, от первых bug bounty в Microsoft, которые я помогла учредить в 2013 году, до сотен аналогичных инициатив, количество которых растет невероятными темпами, мировое хакерское сообщество имеет больше возможностей быть вознагражденным за свой ценный труд. Преимущества таких отношений, выгодных как для компаний, так и для хакеров, были по достоинству оценены организациями, работающими в других сферах и не имеющими прямого отношения к технологиям. Будь то автомобили или игрушки, хакеры зарабатывают себе имя и состояние, выявляя опасные бреши и помогая вендорам закрывать их. Производители медицинских устройств получили новые директивы от Управления США по санитарному надзору за качеством продуктов питания и медикаментов, согласно которым они должны внедрить механизм обмена информацией об уязвимостях с хакерами. Сегодня началась пробная 20-дневная программа Hack the Pentagon, учрежденная правительством США; это служит очередным доказательством важной роли хакеров в глобальном масштабе. Мы живем в интересную эпоху: наша зависимость от технологий усиливается такими темпами, что средства обеспечения безопасности не всегда могут поспеть за ними. Но именно теперь у нас есть возможность взаимодействовать с международным ИБ-сообществом, члены которого имеют необходимые навыки и желание применить их во имя добра. Давайте дадим организациям, не имеющим опыта работы с хакерами, немного времени, чтобы оценить свои возможности и потребности. Теперь они могут сослаться на стандарт ISO, который можно скачать бесплатно. Давайте упростим процесс поиска уязвимостей для ИБ-исследователей, стремящихся помочь, и прекратим преследовать хакеров, когда они стараются стимулировать выпуск патчей. Давайте будем вознаграждать хакеров за добрые дела, когда есть возможность.

Пора взломать всю планету, чтобы обезопасить ее от угроз.

Подробности
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика