Vulnerability Disclosure Policy: come mettere in comunicazione hacker e aziende
2023-12-23 00:31:32 Author: www.cybersecurity360.it(查看原文) 阅读量:5 收藏

SICUREZZA INFORMATICA

La Vulnerability Disclosure Policy è lo strumento che consente di sfruttare appieno i servizi degli ethical hacker, ma occorre conoscerne le regole di base. In altre parole, è utile mettersi dalla parte degli hacker per capire. Ecco una guida per la condivisione dei bug

Pubblicato il 22 Dic 2023

Perché una Vulnerability Disclosure Policy (VDP) è così importante, oggi, nella cyber security? Perché risolve un grosso problema di comunicazione. Quando si parla di bug hunting ci si concentra, in genere, sugli aspetti tecnici, o al limite su quelli economici. Di rado si prendono in considerazione quelli legati alla comunicazione.

Eppure, una delle principali criticità nella ricerca di vulnerabilità di un sistema informatico è il modo in cui ricercatori e azienda condividono i risultati. Un po’ perché i ricercatori, in questo caso, sono ethical hacker, e quindi molte aziende ne sono addirittura spaventate. Un po’ perché le informazioni che si trasmettono, in questo ambito, sono così sensibili da rappresentare al tempo stesso un problema e la soluzione al problema.

Una guida per la condivisione dei bug

Una Vulnerability Disclosure Policy, o Vulnerability Disclosure Program che dir si voglia, è una vera e propria guida a come un ethical hacker può comunicare le falle di sicurezza individuate in un sistema informatico a chi lo possiede o lo gestisce.

Un protocollo da seguire, quindi, affinché i ricercatori sappiano come veicolare le informazioni in modo che l’azienda le possa valutare senza riserve o atteggiamenti ostili.

Allo stesso tempo, una Vulnerability Disclosure Policy permette all’azienda di uniformare questo tipo di comunicazioni, creare un apposito canale con la possibilità di automatizzarlo e integrarlo nella propria architettura e, ultimo ma non ultimo, aprirsi alla comunità di ethical hacker.

Mettersi dalla parte degli hacker per capire

“Viene quasi da pensare che comunicare la vulnerabilità sia quasi importante come trovarla, no?”, chiedo ad Andrea Nadelle, Security Solution Architect di UNGUESS, la prima piattaforma italiana di ethical hacking dedicata alle aziende. E lui: “Assolutamente sì, diciamo che bisogna facilitare la comunicazione tra aziende ed ethical hacker, e infatti il VDP viene utilizzato proprio per questo”.

E spiega: “Perché immaginiamoci il caso in cui io ho trovato una vulnerabilità in un’azienda X e quell’azienda non ha un programma VDP: cosa dovrei fare io, per esempio, per comunicare la vulnerabilità con l’azienda? Dovrei andarmi a cercare gli indirizzi di qualche persona che potrebbe darci un’occhiata? Insomma, diventa un processo fin troppo complicato, mentre la VDP, in questo senso, semplifica la comunicazione sia a livello di ethical hacker sia a livello di azienda”.

Le vulnerabilità sono un problema serio

L’enfasi posta da Nadelle sull’importanza di una corretta comunicazione tra le due parti è figlia dei dati, allarmanti, che riguardano il settore della cyber security. Il rapporto “State of Software Security 2023” riporta che c’è il 27% di probabilità di inserire vulnerabilità in un’app nel momento in cui vi si mette mano.

Del resto, il 56% delle app analizzate in tutto il 2023 conteneva una o più tra le 25 vulnerabilità più gravi.

La cyber security passa, inesorabilmente, per la gestione delle vulnerabilità, ma dopo averle individuate è necessario comunicarle con tempismo e coi dovuti dettagli, altrimenti anche la scoperta più eclatante rischia di essere sottostimata o, peggio, ignorata.

Un esempio di Vulnerability Discluse Policy

È per questa ragione che una piattaforma come UNGUESS, pioniera in Italia nel bug hunting con veri ethical hacker, ha sviluppato e implementato un sistema di VDP pronto per essere integrato in qualsiasi azienda.

Nadelle spiega: “Di base, noi forniamo tutto il necessario per inviare e ricevere le segnalazioni. A quel punto i report arrivano direttamente a noi che, dopo un’accurata fase di triage, selezioniamo quelli davvero meritevoli di attenzione e li inoltriamo alle aziende che hanno scelto il servizio”.

Integrare un sistema di Vulnerability Disclosure Policy

Quando gli si chiede di scendere nei dettagli, il Security Solution Architect di UNGUESS non se lo fa dire due volte: “Quello che poi deve fare l’azienda che vuole comprare questo tipo di servizio è inserire un’apposita pagina nel proprio sito, con eventuali regole che può stabilire in libertà. A quel punto, ci sono tutti gli strumenti per trasmettere in modo sicuro le segnalazioni. Non serve alcuna registrazione: l’operazione è immediata e poi c’è UNGUESS a effettuare una prima verifica, per poi inoltrare il materiale davvero utile all’azienda”.

Dal bug hunting al report

In questo modo, UNGUESS diventa una piattaforma di bug hunting che segue la gestione di una vulnerabilità in ogni suo aspetto: si parte dallo sviluppo di campagne di bug hunting in pochi passi, per arrivare alla creazione e trasmissione di report, passando per il lavoro di una comunità di oltre 500 hacker etici pronti ad analizzare e trovare vulnerabilità nei sistemi delle aziende che ne fanno richiesta.

E con il sistema di generazione della Vulnerability Disclosure Policy, ora, due mondi in apparenza lontani, quello aziendale e quello dell’hacking, hanno uno strumento di dialogo efficace e di semplice utilizzo.

Contributo editoriale sviluppato in collaborazione con UNGUESS

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/soluzioni-aziendali/vulnerability-disclosure-policy-importanza-cybersecurity/
如有侵权请联系:admin#unsafe.sh