Bertanggung jawab Pengungkapan Rencana
Tujuan dari "pengungkapan yang bertanggung jawab" adalah untuk memungkinkan pelanggan dari vendor
produk cukup waktu untuk melindungi sistem mereka dari eksploitasi dan serangan.
Pengungkapan yang bertanggung jawab mengacu pada jumlah waktu yang diperlukan untuk topi hitam untuk
menghasilkan serangan setelah memperoleh pengetahuan tentang kerentanan sistem. Sebuah berbahaya
Serangan dapat terjadi kapan saja, namun, pengungkapan yang bertanggung jawab membahas
periode waktu yang dibutuhkan vendor untuk menyediakan patch setelah mereka tahu dari kerentanan.
Tujuan utama dari pengungkapan yang bertanggung jawab adalah untuk meminimalkan periode itu
waktu untuk mengurangi terjadinya serangan. Secara teori, jika vendor benar berikut
prosedur pengungkapan yang bertanggung jawab patch, rilis patch akan terjadi sebelum
pengetahuan topi hitam dari kerentanan.ini akan memungkinkan pelanggan bertanggung jawab
untuk melindungi sistem mereka dari eksploitasi. Penting untuk dicatat bahwa jika black
hat masyarakat mulai serangan sebelum pengungkapan publik maka timeline untuk
pengungkapan publik membutuhkan escalation.ini langsung akan memungkinkan pelanggan untuk mengambil
tindakan pencegahan pada akhir administrasi sistem untuk melindungi terhadap kemungkinan
eksploitasi.
Bagian pertama dari bagian ini membahas masalah-masalah etika pengungkapan yang bertanggung jawab
dari sudut pandang pemerintah AS. Pada bulan Desember 2002, Dennis
Fisher dengan bantuan dari SANS Institute meminta masukan tentang Rencana Fisher.
Menurut Berita SANS daftar Bites e-mail, Rencana Fisher muncul pada hari-hari
mengikuti 2 Oktober, 2002 ketika Richard Clarke mengatakan dua ratus orang
menghadiri SANS / FBI Top Twenty pengarahan Kerentanan di Washington,
www.syngress.com
98 Bab 3 • Kerentanan Pengungkapan
"Carilah kerentanan. Jika Anda menemukan satu, memberitahu vendor, dan jika mereka tidak
responsif, memberitahu pemerintah "Dennis berhak menunjukkan. bahwa pemerintah
adalah organisasi yang besar dan menghubungkan dengan orang yang tepat akan
hampir mustahil.
Bagian kedua dari bagian ini membahas masalah-masalah dalam hubungan dengan yang diusulkan
pengungkapan forum.The forum pengungkapan yang bertanggung jawab bertanggung jawab adalah sarana
dimana berbagai pihak dapat berdebat dan memediasi pengungkapan kerentanan mereka
poin forum pengungkapan melihat.Drive bertanggung jawab adalah upaya untuk mencapai kompromi
antara semua pihak dalam debat pengungkapan. Individu dan bisnis baik
berpartisipasi dalam forum pengungkapan, atau dianggap anggota topi hitam
masyarakat. Meskipun ini merupakan pernyataan yang unik ketika Anda mempertimbangkan lainnya
proposal pengungkapan yang bertanggung jawab, itu adalah component.There penting perlu
penghalang untuk sipil disclosure.Without tidak bertanggung jawab atau hukum pidana untuk menghukum
pengungkapan yang tidak bertanggung jawab, daftar hitam publik dapat menjadi pilihan yang efektif.
The Fisher Rencana,
Pengungkapan pemerintah - Apakah Diperlukan?
Rencana Fisher mengusulkan pusat pemerintahan pelaporan yang memegang tanggung jawab
untuk kerentanan reproduksi, koordinasi vendor, menentukan batas waktu untuk
memperbaiki didasarkan pada keparahan dari kerentanan, melakukan tekanan pada vendor
untuk memperbaiki kerentanan dalam waktu yang ditetapkan, koordinasi melaporkan keterbukaan informasi, dan
mungkin mengeluarkan kompensasi finansial kepada kelompok discoverer.The diusulkan dalam
Rencana Fisher akan menghadapi banyak tantangan. Apakah Anda merasa perlu dan etis
untuk mengatur proses pengungkapan?
Konservatif Rencana Fisher adalah proses diterima dan diperlukan untuk
kerentanan disclosure.Without beberapa jenis regulasi, topi hitam akan
selalu memegang organisasi advantage.What lebih baik untuk melakukan ini jenis
melaporkan pusat dari pemerintah, yang memiliki saluran terpusat
komunikasi dan pendanaan yang cukup untuk kegiatan keamanan. Ini tidak etis
gagal untuk memiliki proses seperti Rencana Fisher sudah diatur di tempat.
Penemuan Liberal kerentanan sistem adalah orang-orang baik takterelakan.The
akan menemukan beberapa dan orang jahat akan menemukan orang lain. Hal ini dalam
terbaik kepentingan perusahaan-perusahaan dan individu yang tidak ingin berhubungan
dengan komunitas topi hitam untuk mengikuti pengungkapan yang bertanggung jawab
kebijakan. Semua pihak yang tertarik dalam meningkatkan keadaan keamanan informasi
akan harus datang bersama-sama dan kompromi untuk membangun sebuah tim
www.syngress.com
Kerentanan Pengungkapan • Bab 3 99
pakar industri sehingga proses pengungkapan tidak jatuh ke pemerintah.
Cara terbaik adalah di tangan bisnis sektor swasta dan lainnya
perantara.
RINGKASAN
Terlepas dari apakah Anda mendukung proses pemerintah atau swasta proses
untuk menangani pengungkapan kerentanan, tidak ada keraguan bahwa TI
masyarakat harus menemukan cara untuk benar menangani masalah pengungkapan.
Vendor harus menerima pemberitahuan dan klien harus menerima kerentanan
Informasi untuk perlindungan yang tepat dari sistem informasi mereka. Di
akhirnya, semua ini perlu terjadi secara aman bijaksana.