Hogyan készíthetünk sebezhetőségi választervet: 6 tipp

Öt ok a bug bounty program elindításához Miért hívja fel az embereket, hogy vizsgálják meg az ön kódját, és próbáljanak hibákat találni? Íme öt jó ok.

A bejelentett biztonsági rések száma 92% -kal nőtt az elmúlt évben, mondja a Bugcrowd első prioritás: A 2018. évi tömegközéppontos biztonság helyzete, csütörtökön kiadott jelentése.

További információ a kiberbiztonságról

  • Kiberbiztonság 2020-ban: Nyolc félelmetes előrejelzés
  • Az évtized tíz legfontosabb cyberatása
  • Hogyan válhat kiberbiztonsági profivá: A csaló lap
  • Frank Abagnale híres embere: Ma a bűncselekmény 4000-szer könnyebb

A biztonsági kutatók által felfedezett öt legfontosabb sebezhetőség a meghibásodott hozzáférés-vezérlés, az érzékeny adatok expozíciója, a szerver biztonsági hibás konfigurációja, a meghibásodott hitelesítés és a munkamenetek kezelése, valamint a webhelyek közötti szkriptek - amelyek többségét nehéz vagy lehetetlen felismerni a gépekkel.

Megsértették: Nyolc lépés, amelyet meg kell tenni a következő 48 órán belül (ingyenes PDF) (TechRepublic)

Míg az automatizált biztonsági szkennerek olyan hibákat észlelhetnek, mint az XSS, a CSRF és az SSI, a biztonsági szakemberekre és kutatókra gyakran szükség van kritikusabb kérdések felkutatására - állította a jelentés. Számos vállalat fordul elő a bug bounty programokhoz is, hogy elősegítse a fő sebezhetőségeket, még mielőtt a számítógépes bűnözők ezt megtennék.

"Gyakran hivatkozunk egy sebezhetőségi programra mint az internet szomszédságfigyelőjére" - nyilatkozta a jelentés. "Mégis, ha van csatornánk a külső kutatóktól érkező sebezhetőségi beadványokhoz, szintén szükség van ezekre a beadásokra való válaszadás módjára."

Bugcrowd szerint itt található hat tipp az eseményekre reagáló program felépítéséhez. ( Megjegyzés : Ez a cikk a sebezhetőségi választerv felépítéséről ingyenesen letölthető PDF formátumban.)

1. Vegye komolyan az összes jelentést

A biztonsági csapatoknak figyelmet kell fordítaniuk a kutatók biztonsági jelentéseire és figyelmeztetéseire a vállalaton belül és kívül. "Vegyen komolyan az összes jelentést, amíg 100% -ban egyértelmű a hatása" - nyilatkozta a jelentés. "Nem volt hiány olyan félreértett megállapításokról, amelyek megértése eltart egy ideig - legyen nyitott és hajlandó beszélgetni, hogy teljesen megértse, miért és miért jelentik."

2. Gondoljon csak egy jegy bejelentésére

Miután azonosítottak egy kritikus kérdést, az informatikai és biztonsági szakembereknek gondoskodniuk kell arról, hogy azt időben orvosolják. "A kritikus megállapításokat soha nem szabad eltévedni a lemaradásban, és a biztonságnak nincs helye a politikának, hogy veszélyeztesse végfelhasználói bizalmát" - nyilatkozta a jelentés. "Ez egy másik értékes hely, ahol a megfelelő biztonsági képzés szerepel. Ha az egész szervezet tisztában van a kockázattal, és a fedélzeten tartja a prioritást a biztonságról, akkor sokkal könnyebb a dolgok gyorsabb rögzítése."

3. Mutassa meg elismerését

Köszönöm és jutalmazzuk azt a személyt, aki beszámolt a sebezhetőségről, és közölje velük, hogy értékelik őket.

4. Érvényesítse a javítást

A mérnökök gyakran nem értik teljesen, mit javítanak. "Ellenőrizze, hogy a javítás elegendő-e, próbálja megbontani, vizsgálja felül a kódot, és küldje vissza, ha hiányos" - javasolta a jelentés.

5. Tájékoztassa a kutatót

Miután a probléma megoldódott, tudassa vele a kutatóval, mivel találhatnak módot arra, hogy hatékonyabban tegyék meg, amit a csapata nem gondolt volna.

6. Növelje hatókörét és jutalmait

Ha egy biztonsági kutató vagy a bug bounty program munkájának köszönhetően elkerülte a fontos kérdéseket, fontoljon meg többet a tömegforrású programokba való befektetésről, hogy elősegítsék a problémák azonosítását, mielőtt azokat vadonban kihasználnák.

További információkért nézze meg az Eseményekre adott válasz: mi kell a ZDNet megfelelő politikájának.

Kiberbiztonsági bennfentes hírlevél

Erősítse meg szervezetének informatikai biztonsági védelmét azáltal, hogy lépést tartson a legújabb kiberbiztonsági hírekkel, megoldásokkal és a bevált gyakorlatokkal. Keddenként és csütörtökön szállítva

Regisztrálj még ma

Lásd még

  • Hogyan válhat kiberbiztonsági profivá: Cheat sheet (TechRepublic)

  • 10 veszélyes alkalmazás-sebezhetőség, amelyre figyelni kell (TechRepublic letöltés)

  • Windows 10 biztonság: Útmutató az üzleti vezetők számára (TechRepublic Premium)

  • Online biztonság 101: Tippek a magánélet védelmére hackerek és kémek ellen (ZDNet)

  • A 2019-es legjobb jelszókezelők (CNET)

  • Kiberbiztonság és kiberháború: Több olvasási lefedettség (TechRepublic a Flipboardon)

Kép: iStockphoto / szőlő

© Copyright 2020 | mobilegn.com