CISA ร่วมมือกับ OMB เพื่อยืนหยัดนโยบายการเปิดเผยช่องโหว่ในหน่วยงานพลเรือน

CISA ร่วมมือกับ OMB เพื่อยืนหยัดนโยบายการเปิดเผยช่องโหว่ในหน่วยงานพลเรือน

หน่วยงานด้านความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานและสำนักงานการจัดการและงบประมาณจะกำหนดให้หน่วยงานพลเรือนพัฒนานโยบายการเปิดเผยช่องโหว่ โดยอนุญาตให้ผู้เชี่ยวชาญภายนอกที่ “เห็นบางอย่าง” ที่ดูเหมือนเป็นจุดอ่อนทางไซเบอร์ “พูดอะไรบางอย่าง” กับผู้ที่สามารถแก้ไขได้

ภายใต้ร่างคำสั่งการปฏิบัติงานที่มีผลผูกพันซึ่งเผยแพร่เมื่อวันพุธ หน่วยงาน VDP จะระบุอย่างชัดเจนว่า “หน่วยงานยินดีและอนุญาตการวิจัยด้านความปลอดภัยโดยสุจริตเกี่ยวกับระบบที่เข้าถึงอินเทอร์เน็ตได้” CISA Assistant Director for Cybersecurity Jeanette Manfra เขียนไว้ในบล็อกโพสต์

ในขณะเดียวกัน OMB จะเข้าพบกับผู้บริหารจาก

 Department of Homeland Security, General Services Administration, Commerce Department และหน่วยงานอื่น ๆ เพื่อทำงานเกี่ยวกับกลยุทธ์การนำไปปฏิบัติ ตลอดจนประโยชน์ของการใช้โปรแกรม Bug Bounty จากนั้นหน่วยงานเหล่านั้นจะส่งคำแนะนำเหล่านั้นไปยัง Federal Chief Information Security Officers Council

ในบันทึกจากสำนักงานของ Suzette Kent เจ้าหน้าที่ฝ่ายสารสนเทศของสำนักงานกลาง นโยบายการเปิดเผยช่องโหว่ (VDPs) ไม่เพียงทำหน้าที่เป็นวิธีการที่มีประสิทธิภาพสำหรับการเปิดเผยภัยคุกคามเท่านั้น แต่ยังให้ความคุ้มครองทางกฎหมายสำหรับผู้ที่แจ้งข้อมูลภัยคุกคามนั้นด้วย “โดยการแยกแยะความแตกต่าง ระหว่างวิธีการรวบรวมความปลอดภัยที่ยอมรับได้และยอมรับไม่ได้”

        Insight by Tanium: เอเจนซีกำลังฝึกฝนวิธีที่ดีที่สุดในการรักษาความปลอดภัยซอฟต์แวร์และมองเห็นซัพพลายเออร์ได้ดีขึ้น เราพูดคุยกับผู้นำจาก DoD, FDA, GSA, NASA และรัฐเพื่อเปิดเผยว่าหน่วยงานต่าง ๆ ตอบสนองความต้องการในการมองเห็นแนวทางปฏิบัติทางไซเบอร์ของผู้ขายได้อย่างไร

ในร่าง BOD ผู้อำนวยการ CISA Chris Krebs เขียนว่าหน่วยงานรัฐบาลกลางส่วนใหญ่ไม่มีขั้นตอนที่เป็นทางการซึ่งอนุญาตให้ผู้เชี่ยวชาญภายนอกเตือนหน่วยงานเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นในระบบของพวกเขา และพวกเขาไม่มีกลยุทธ์สำหรับวิธีการนำคำแนะนำเหล่านี้ไปใช้ .

“มีหน่วยงานไม่กี่แห่งเท่านั้นที่ระบุอย่างชัดเจนว่าผู้ที่เปิดเผยช่องโหว่

โดยสุจริตนั้นได้รับอนุญาต” Krebs เขียน “สถานการณ์เหล่านี้สร้างสภาพแวดล้อมที่ทำให้ประชาชนล่าช้าหรือกีดกันไม่ให้รายงานปัญหาด้านความปลอดภัยข้อมูลที่อาจเกิดขึ้นกับรัฐบาล ซึ่งสามารถป้องกันปัญหาเหล่านี้ไม่ให้ถูกค้นพบและแก้ไขก่อนที่จะถูกใช้ประโยชน์หรือเปิดเผยต่อสาธารณะ”

Politico รายงานเนื้อหาของร่าง BOD เป็นครั้งแรกเมื่อวันอังคาร แต่เมื่อเดือนที่แล้ว Manfra ได้บอกเป็นนัยถึงการเปิดตัวร่างคำสั่งและคำแนะนำ OMB ที่กำลังจะมีขึ้น ซึ่งเป็นส่วนหนึ่งของการรณรงค์ของ CISA เพื่อทำให้ปี 2020 เป็น “ปีแห่งการจัดการช่องโหว่” ในรัฐบาลกลาง

ร่าง BOD ไม่ได้กำหนด Bug Bounty ทั่วทั้งรัฐบาล แต่ไม่มีอะไรป้องกันหน่วยงานที่ยังไม่มีโปรแกรมดังกล่าวจากการตั้งค่ากระทรวง  กลาโหม  และ  หน่วยงานทางทหาร  ได้เปิดตัวโปรแกรมรางวัลบั๊กในช่วงไม่กี่ปีที่ผ่านมา ซึ่งจ่ายเงินให้นักวิจัยไซเบอร์และแฮ็กเกอร์หมวกขาวสำหรับการเปิดเผยช่องโหว่ในระบบที่เปิดเผยต่อสาธารณะ

หน่วยงานพลเรือนได้เห็นการเปิดตัวที่ช้าลง General Services Administration  เปิดตัวโปรแกรม Bug Bounty  ในปี 2560 และสมาชิกสภาคองเกรสได้พยายามให้หน่วยงานอื่น ๆ เข้าสู่การปฏิบัติ

คำสั่งดังกล่าวไม่ได้สร้างโปรแกรม VDP ระดับชาติ แต่ต้องการให้หน่วยงานพลเรือนพัฒนานโยบายส่วนบุคคลของตนเองแทน Manfra กล่าวว่าความแตกต่างอาจดูเหมาะสมในตอนแรก แต่จริงๆ แล้วสร้างความแตกต่างอย่างมากในทางปฏิบัติ

DHS เตรียมส่งปริศนาไซเบอร์ชิ้นที่ 2 เพื่อให้การย้ายคลาวด์ง่ายขึ้น

ถามซีไอโออ่านเพิ่มเติม

ซีไอเอสเอ

CISA จะเริ่ม ‘ปีแห่งการจัดการช่องโหว่’ ด้วยนโยบายการเปิดเผยภัยคุกคามที่ได้รับการปรับปรุง

ความปลอดภัยทางไซเบอร์อ่านเพิ่มเติม

ความปลอดภัยทางไซเบอร์, Jeanette Manfra, DHS

เจ้าหน้าที่ไซเบอร์ CISA มุ่งหน้าสู่ภาคเอกชน

ความปลอดภัยทางไซเบอร์อ่านเพิ่มเติม“เหตุใดจึงไม่ใช่ VDP ระดับชาติ เราคิดว่านโยบายการเปิดเผยช่องโหว่ที่เป็นสากลเดียวสำหรับฝ่ายบริหารเป็นเป้าหมายที่ดี เป็นเรื่องที่สมเหตุสมผลโดยเฉพาะอย่างยิ่งเมื่อแต่ละหน่วยงานมีระบบที่เข้าถึงอินเทอร์เน็ตได้ทั้งหมด แต่เราคาดว่าเป้าหมายดังกล่าวจะเป็นจุดเริ่มต้นที่ไม่สมจริงสำหรับหน่วยงานส่วนใหญ่” Manfra กล่าว คำสั่งดังกล่าวสนับสนุนแนวทางแบบแบ่งระยะเพื่อขยายขอบเขต ซึ่งช่วยให้องค์กรแต่ละแห่งซึ่งประกอบด้วยมนุษย์และเครื่องมือขององค์กร บรรทัดฐานและวัฒนธรรมสามารถยกระดับขึ้นทีละน้อยได้”

เว็บสล็อตแท้ / สล็อตเว็บตรงไม่ผ่านเอเย่นต์