terjemahan ethically
Etis Penanganan KeamananKerentanan - Siapa yang Anda Beritahu?Anda seorang insinyur jaringan konsultan melakukan diagnosa pada discover job.Youyang parahkerentanan dalam firewalldibelidarivendorsolusi.Dimenanggapi kerentanan ini, Anda menginstal solusi, firewall baru yang lebih aman darivendor lain. Apa yang Anda lakukan dengan informasi kerentanan yang Anda milikitentang produk lainnya?Konservatif Panggil rekan kerja Anda dan memperingatkan mereka dari masalah.Segera memberitahukan Computer Emergency Response Team (CERT) darikerentanan sehingga mereka dapat memberitahu vendor dan mempublikasikan fakta-faktasetelah vendor telah tetap masalah dan diungkapkan kelemahan produksendiri. Hindari langsung menerbitkan kerentanan untuk melindungivendor reputasi dan Anda sendiri, karena bisnis Anda menggunakan solusi vendordanrentan.Liberal Peringatkan semua orang yang Anda tahu. Lakukan pengungkapan penuh, karena CERT adalahlambat dalam mengeluarkan peringatan yang tepat dan banyak bisnis mungkin mengalami berbahayahack untuk sementara.Cari seorang peneliti terkenal yang bersediauntuk mempublikasikan kerentanan. Pengungkapan informasi secara menyeluruh jawaban yang benar karenamemotivasi vendor untuk menyediakan patch tepat waktu atau solusi untuk barukerentanan. Jika vendor gagal untuk menyediakan tepat waktu dan memperbaiki kerentanan penuhpengungkapan publik, media negatif yang dihasilkan akan menyebabkan kerusakan padavendor reputasi dan pendapatan. Selanjutnya, untuk menghindari negatif di masa depanmedia, Anda akan memaksa vendor untuk memproduksi perangkat lunak yang lebih baik untuk menghindari hal inijenis media kedua kalinya.RINGKASANKerentanan Pengungkapan • Bab 3 83Ada dua sudut pandang ketika membuat keputusan untuk melakukan fullpengungkapan. Yang pertama adalah untuk mengikuti rantai komando dimulai dengan noti-www.syngress.com290_Ethics_IT_03.qxd 5/10/04 11:40 Page 8484 Bab 3 • Kerentanan Pengungkapanfying organisasi Anda dan klien Anda, kemudian membawa kelemahan untuksebuah organisasi yang memenuhi syarat yang menangani proses pengungkapan dari sana,biasanya dengan cara pengungkapan yang terbatas (dibahas kemudian dalam bab ini).Titik kedua pandang segera mengungkapkan semua informasi kerentanankarena mereka merasa bahwa organisasi seperti CERT terlalu lambat dalam melaporkankerentanandan klien perlu mengetahui rincian lengkap sesegera mungkinuntuk lebih mempersenjatai diri melawan serangan. Apapun berarti Andamengadopsi,mempertimbangkan dampak dari baik sebelum bertindak.The Game of PengungkapanPengungkapan kerentanan adalah permainan taruhan tinggi, dengan ketenaran banyak terjadikepada orang atau tim yang menemukan kerentanan, dan telur banyak padawajah perusahaan dengan kerentanan. Hal ini dapat sangat frustasi menjadian, kerentanan mapan tim penemuan sah yang sepatutnya memberitahukan suatuperusahaan ketika kerentanan ditemukan, dan kemudian menunggu untuk perusahaanuntuk merespon dan menambal kerentanan. Banyak peneliti telah"Meraup" oleh yang lain, individu-individu yang kurang teliti akan merilis kerentanantanpa memberitahu perusahaan yang terkena dampak,lama setelah yang pertamapenelititelah ditemukan dan biasanya didokumentasikan dengan baik kerentanan yang sama.Dan kerahasiaan sering kunci untuk patchannouncement penemuan-siklus bahwa pengungkapan kerentanan berikut hari.Jens HaeusserManager, Keamanan Informasi KantorUniversity of British ColumbiaMelakukan Pengungkapan Kendali -Berapa Banyak yang lain Tahu Sudah?Anda akan melakukan pengungkapan lengkap termasuk kode script dan semua lainnyarincian tentang kelemahan keamanan dalam sistem browser Internet Anda bisnisutilizes.You berpendapat bahwa Anda harus sepenuhnya mengungkapkan semua informasi karena Andamengasumsikan organisasi seperti Black Hat telah memiliki informasi dan Andawww.syngress.com290_Ethics_IT_03.qxd 5/10/04 11:40 Page 85ingin vendor dan klien untuk memiliki informasi ini untuk menangkap setiapkerusakan yang disebabkan oleh serangan berbahaya. Apakah Anda benar dalam asumsi ini?Konservatif Meskipun benar bahwa masyarakat topi hitam berbakatkemungkinan mungkin memiliki pengetahuan sebelumnya dari eksploitasi, gerombolan script kiddiestidak. Sepenuhnya mengungkapkan kerentanan termasuk kode dieksploitasi, lenganScript kiddies dengan senjata. Setelah pengungkapan penuh, script kiddiesakan memiliki mengeksploitasi otomatis dan dapat melancarkan serangan terhadap siapa pun dimasyarakat yang memanfaatkan browser yang bersangkutan. Bahkan jika script kiddiestidak menyadari dari setiap pengetahuan teknis, mereka mungkin memiliki apa yang merekaperlu melancarkan serangan dari pengungkapan. Selain itu, jika mamputopi hitam tidak dimiliki pengetahuan sebelumnya dari kerentanan baru, pengungkapan penuhtetesInformasi inidi pangkuan mereka dan membuatsecara signifikan lebih mudah untukmerekauntuk mengembangkandieksploitasi kode dan alat-alat otomatis.Liberal pendukung pengungkapan Kendali berasumsi bahwa komunitas hacker topi hitamsudahsadarprodukkerentanan olehsangatalamdarihitamtopi organisasi.Dengan penuh informasi kerentanan mengungkapkan, administratordari rentansistem memperoleh data yang diperlukan untuk mengambilpenetralandanmemberikanpelindunglangkah-langkah.Pengungkapan penuh sangat penting sehingga administratordan programmermemahamikerentanan dalam rangkauntukmencegahdan membela terhadap them.Throughpengungkapan penuhsistem,administratordan programmermemperoleh akses ke rincian teknis penuh darikerentanandan akibatnya dapat mengambilsesuaidefensifaction.RINGKASANKerentanan Pengungkapan • Bab 3 85Meskipun konsep pengungkapan penuh tidak menghalangi pemberitahuan vendor,konservatif yang paling menunjukkan kurangnya tenggang waktu selamayangvendor dapat mengatasi cacat sebagai kerugian yang besar. Sepenuhnyapengungkapan,vendor menerima pemberitahuan simultan dengan waktupenyingkapankerentanan informasi kepada semua orang lain. Karena itu, sistemadalahrentan selama jumlah waktu yang dibutuhkan vendor untuk mengatasiitukerentanan dan klien untuk menempatkan langkah-langkah pertahanan di tempat.Namun,dari sudut pandang liberal,menunggu untuk mengirim pengungkapan penuhmemungkinkanwaktu bom untuk pergi dalam organisasi Anda. Kegagalanuntuk melakukansebuahpengungkapan penuh menghilangkan administrator sistem dari waktu yang cukupwajibuntuk langkah-langkah defensif yang efektif secara internal.