Il National Cyber Security Center (NCSC) ha pubblicato una serie di linee guida per aiutare le aziende a implementare un processo quanto più efficace possibile per la segnalazione delle vulnerabilità. Chiamato "The Vulnerability Disclosure Toolkit", il documento sottolinea e spiega l'importanza che assume per le aziende di qualsiasi dimensione l'implementazione di un meccanismo responsabile di "caccia e segnalazione" dei bug.
Una procedura di individuazione e segnalazione celere delle vulnerabilità ha oggi perfettamente senso, considerando che una fetta veramente importante degli attacchi informatici riescono proprio a causa di problematiche di sicurezza: non a caso i ricercatori di sicurezza individuano costantemente nuovi bug. Il problema è che, spesso, è molto difficoltoso riuscire a segnalare un bug e sono necessari non pochi sforzi per trovare un contatto che possa realmente approntare una patch e risolvere il problema.
"Le vulnerabilità di sicurezza sono scoperte continuamente e le persone vorrebbero essere messe in grado di segnalarle direttamente all'organizzazione responsabile" spiegano dall'NCSC. Un'azienda che pone in essere molti sforzi per ridurre il numero delle vulnerabilità della propria infrastruttura può fornire prodotti e servizi più sicuri, riducendo il rischio di cyber attacchi.
"Disporre di un chiaro processo per segnalare le vulnerabilità dimostra che la tua azienda sta affrontando seriamente la questione della cyber sicurezza. Con un processo di questo tipo le aziende possono ricevere le informazioni direttamente, così possono risolvere i bug più celermente e ridurre nettamente il rischio di compromisssione" continua il documento dell'NCSC.
The Vulnerability Disclosure Toolkit: implementare e migliorare il "bug reporting"
Il documento è organizzato in 3 diverse sezioni che descrivono come segnalare una vulnerabilità alla persona giusta, garantendo che la segnalazione segua uno standard chiaro che definisca nei fatti un quadro concordato per la risoluzione della problematica.
L'NCSC raccomanda di riservare contatti ad hoc (email o form web) per le segnalazioni, rendendoli molto semplici e immediati da trovare. Ciò può essere facilmente fatto con lo standard security.ttxt, un testo di file in chiaro pubblicato nella cartella /. nella root del sito. Nel file è consigliato inserire non solo i contatti per la sicurezza aziendale, ma anche le policy di segnalazione e divulgazione delle vulnerabilità. Un campo aggiuntivo potrebbe contenere le chiavi pubbliche in caso fosse necessaria una comuicazione criptata. Qui l'NSCS ha fornito un file esempio.
L'NCSC ha anche raccomandato alle aziende di non costringere i ricercatori a firmare accordi di non divulgazione, perchè lo scopo unico ed esclusivo della segnalazione è quella di assicurarsi che la vulnerabilità venga mitigata e risolta prima possibile. Non solo: aggiornare la comunità dei ricercatori sui progressi che vengono compiutio rispetto ad una precisa problematica dimostra trasparenza e sicuramente sarà apprezzato lo sforzo, ma può consentire anche a colui che ha segnalato il bug di ripetere i test per assicurarsi che sia stato effettivamente risolto.
Che valore ha questo toolkit?
La pubblicazione di questo documento è un preambolo per inquadrare nel quadro legislativo del Regno Unito la segnalazione e divulgazione di vulnerabilità. Il Governo sta attualmente preparando leggi che richiedono ai vendor dispositivi smart di rendere disponibile un contatto pubblico per le policy di divulgazione delle vulnerabilità.
Nessun commento:
Posta un commento