负责任报告的时间来了

今年年初是在即将到来的年份的预算可以提供,当时许多新项目都是脱离的,安全会议季节开始。这也是一年中,许多供应商发出关于他们研究人员已经未覆盖的最新和最大威胁的报告。他们这样做是为了让我们了解危害我们系统威胁的威胁的演变,并建议那些有关捍卫公司资产的人,就如何改变他们的防守态度来处理这些威胁。

许多人知道我可以证明我是信息共享的坚定支持者。我相信没有有效和有效的信息共享,我们正在与我们的敌人争取不同的劣势。如果我们知道谁可能攻击我们的系统,他们的目标是攻击,以及如何努力妥协这些目标,我们可以相应地调整我们的安全控制。

我对安全供应商和服务提供商没有问题,使用他们的研究帮助推广他们销售的产品和服务。我们依靠供应商开发我们可以使用的强大安全产品和服务来保护我们的网络。由于某些报告,各种供应商已被激怒融入敏捷,这反过来又导致了巨大的新客户涌入或被其他安全供应商收购的公司。

但是,我是一段令人担忧的趋势,一些供应商如何报告新威胁或正在对最新的主要安全违规行为分析。我的担忧是,在这些报告中发表的信息可能比善良更弊,可能无法帮助那些捍卫其网络的人。在某些情况下,报告中的细节可能会破坏刑事调查,提醒犯罪分子,即他们的方法被发现,或错误地指责或暗示无辜的缔约方。

最近的目标违规是我的一个很好的例子’m试图指出。由于这种违约,超过4000万信用卡 被妥协 由攻击者。随着违规的细节涓涓细流,许多人开始猜测攻击如何被执行,谁可以落后于此。在违约官方公告后的日期,我们看到各种供应商的报告暗示不同系统作为使攻击成为可能的弱势联系。

我们还看到一些供应商释放了恶意软件和支持基础设施的技术细节。最令人担忧的是,我们看到一些供应商名称是涉嫌参与违约的人。在一份报告中,一个17岁的孩子被指控成为恶意软件的作者,他被否认,随后被发现不参与其中。

我们最近目睹了一些供应商关于他们未覆盖的最新恶意软件活动的报告。这些释放范围从公告中告诉我们他们发现了最新的破坏性恶意软件,但在他们在会议上呈现出会议之前不会发布信息,以暗示潜在的感染来源的统计数据,这些报告未被其他人备份的潜在感染源的统计数据。

我担心的是,在追求抓住头条新闻中,确保他们的研究人员被要求成为主要会议的主题演讲者,为自己创造一个名称,或使自己对大型公司的有吸引力的收购目标,这些供应商将更多地推动我们风险而不是保护我们。

如果与正在进行的安全漏洞相关的敏感性细节过早释放,则可能会破坏刑事调查。因此,虽然供应商可以获得头条新闻,但袭击背后的罪犯更有可能逃避犯罪,并继续将来损害其他公司。同样,当供应商看到通过耸人化的信息来利用他们拥有的信息时,它们可能产生更多的弊大于良好。

It’供应商的时候确保他们拥有的信息以负责的方式释放,以确保无辜的人’S声誉没有玷污,刑事调查没有受到危害,而且过度夸张的威胁不会分散我们每天面对的核心威胁。如果供应商或确实记者,有可能在处理积极威胁方面有可能有用的信息,他们应该以负责任的方式使其公开。接近适当的当局,看看这些信息是否会对他们使用,或者其出版物是否可以危及他们的调查。或者,可以通过第一个或TF-CSIRT组与CERT团队共享相同的信息。还有许多行业信息共享组,可以确保负责任地行动信息。

安全社区争辩并继续争辩,安全漏洞如何应尽可能责任地披露。现在是时候了解信息的共享方式。信息是权力,强大的力量带来了巨大的责任。

Brian Honan.是一个 独立安全顾问 位于爱尔兰都柏林,是爱尔兰Irisscert的创始人和负责人’第一个证书。他是Europol Cyber​​ Center的特别顾问,该顾问在都柏林大学学院信息安全讲师,他坐在几家信息安全公司的技术咨询委员会。他已经解决了一些重大会议,写道 ISO 27001在Windows环境中 和共同作者 云安全规则。他经常为许多行业公认的出版物做出贡献,并担任SANS研究所的欧洲编辑’S每周SANS新闻界。

分享这个