NCSC do Reino Unido lança um Kit de divulgação de vulnerabilidades

O National Cyber ​​Security Center (NCSC) do Reino Unido lançou uma diretriz, chamada de Vulnerability Disclosure Toolkit, sobre como implementar um processo de divulgação de vulnerabilidade.

As diretrizes destacam a importância para qualquer organização de incentivar o relatório de bug responsável por meio de processos especificamente definidos.

Um processo de divulgação de vulnerabilidade pode ajudar as organizações a resolver rapidamente as vulnerabilidades relatadas por especialistas e caçadores de bugs para reduzir o risco de comprometimento.

“O padrão internacional para divulgação de vulnerabilidade ( ISO / IEC 29147: 2018 ) define as técnicas e políticas que podem ser usadas para receber relatórios de vulnerabilidade e publicar informações de remediação. O NCSC projetou este kit de ferramentas para organizações que atualmente não têm um processo de divulgação, mas estão procurando criar um. ” lê a diretriz.

O recebimento de relatórios de vulnerabilidade reduz o risco de que as falhas sejam descobertas por adversários e exploradas em ataques à solta, e melhora a segurança dos produtos ou serviços da organização.

“Ter um processo de relatório claramente sinalizado demonstra que sua organização leva a segurança a sério. Ao fornecer um processo claro, as organizações podem receber as informações diretamente para que a vulnerabilidade possa ser tratada e o risco de comprometimento reduzido. ” afirma o documento. “Este processo também reduz o dano à reputação da divulgação pública, fornecendo uma maneira de relatar e uma política definida de como a organização irá responder”

A diretriz é organizada em três seções principais, Comunicação, Política e Segurança.txt. O processo de comunicação de uma vulnerabilidade deve ser claro e bem definido, pode ser útil definir um caminho específico para a divulgação dos problemas (endereço de e-mail ou formulário seguro da web).

O uso do   padrão security.txt pode ajudar a criar uma seção de sites fácil de encontrar, onde é possível encontrar os contatos e a política.

O arquivo contém dois campos principais, “CONTATO”, que inclui referências para relatar a falha (ou seja, e-mail ou formulário seguro da web) e POLÍTICA, um link para a política de divulgação de vulnerabilidades da organização.

O NCSC forneceu recomendações sobre como responder à divulgação de vulnerabilidade, por exemplo, sugere nunca ignorar quaisquer relatórios e sugerir que as empresas evitem forçar o localizador a assinar um acordo de não divulgação “já que o indivíduo está simplesmente procurando garantir que a vulnerabilidade seja corrigida . ”

Outro aspecto crucial do Vulnerability Disclosure Toolkit é a política, ela deve ser clara e permitir que as organizações definam a expectativa dos relatórios de vulnerabilidade e suas respostas. É essencial permitir que a organização e o localizador (o especialista que relata a falha) trabalhem com segurança dentro de uma estrutura acordada.

O lançamento do “The Vulnerability Disclosure Toolkit” é apenas uma parte dos esforços do Governo do Reino Unido na definição de estruturas legislativas nacionais.

“Da mesma forma, daqui para frente esse requisito será incorporado às estruturas legislativas. O governo do Reino Unido está atualmente desenvolvendo uma legislação que exigirá que os fabricantes de dispositivos inteligentes forneçam um ponto
de contato público como parte de uma política de divulgação de vulnerabilidade. Este também é um requisito para outros esforços internacionais na segurança de dispositivos inteligentes, incluindo a norma EN 303 645 ″, conclui o guia.

Fonte: https://securityaffairs.co/wordpress/108308/laws-and-regulations/vulnerability-disclosure-toolkit.html