新二皇冠最新手机登录(www.22223388.com):别人先发现了你们公司的平安破绽,你该怎么办?

新2最新网址

www.122381.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

,

导语

用户在第一时间接到的关于信息泄露和重大威胁的通知可能会是由外部机构提供的。因此用户只有做好响应的准备事情,才气高效快捷地响应这些由外部提供的平安情报。

在平安研究员、执法机构或营业互助同伴等外部机构提醒系统存在被入侵或被损坏的危险之前,组织机构,尤其是大企业通常都不会察觉到这些危险。随着攻击方式的不停扩散,开源组件的使用日益增多,以及云服务的大量接纳,许多企业面临的攻击面也在不停地扩大。令人尴尬的是,企业自己的平安团队已经变得越来越难以发现这些破绽。例如,入侵者已经攻破了SolarWinds公司的系统并通过该公司的软件不停流传恶意软件,然则SolarWinds却一直没有察觉到,直到平安厂商FireEye向SolarWinds转达了相关破绽,SolarWinds才如梦初醒。

许多企业的破绽在长达数月的时间里都没能获得修复,基本缘故原由在于企业的内部平安团队没有发现它们,SolarWinds案例只是其中的一个典型案例而已。因此,近年来,吸收和响应由外部机构提供的平安情报(无论是破绽通知照样新的重大威胁),对于企业来说正变得越来越主要。

认真为Coalfire公司的高层提供网络战略建议的John Hellickson说:“任何提供网络产物或服务的企业都应确立起一套吸收和响应机制,以便外部机构能够向其转达可能对其产物或服务发生影响的潜在问题。”

以下是企业有用确立起这种能力的六个技巧:

01

制订详细的破绽讲述制度

市场研究机构IDC认真平安研究的副总裁Pete Lindstrom说,企业应当确保向所有有意向其讲述平安或隐私问题的外部机构明确见告企业的破绽讲述制度,说明企业期望外部机构以认真任的方式转达破绽,并提供电子邮件地址、电话号码等外部机构可以向其转达平安或隐私问题的方式。

企业还应对外说明其处置、观察息争决这些讲述或信息的方式,并让第三方机构领会企业审查息争决问题的速率或时间,以便让他们知道自己提供的信息没有被忽视。此外,企业还应向第三方机构说明企业的政策,若是转达的情形属实,企业将会给予奖励。若是情形不属实,那么企业也要明确地见告他们不会对其提供的情形给予奖励。

Lindstrom说:“治理好第三方的期望对企业的乐成和声誉至关主要。因此,当第三偏向企业提供平安或隐私问题时,准确地知道他们期望获得什么,对于企业来说很主要。”

尺度普尔全球市场情报公司(S&P Global Market Intelligence)信息平安研究主管Scott Crawford建议,企业应该行使ISO/IEC 30111尺度中的指南来指导破绽处置事情。Crawford指出,在处置第三方破绽讲述时,这些尺度可为若何制订处置规则提供指导。

02

制订内部破绽治理设计

Lindstrom称,不管企业是否希望从外部获得平安情报,都应在内部确立起应用程序平安和破绽治理程序。对于企业来说,部署最佳实践(例如定期举行破绽扫描,打上平安补丁等)异常主要,这样可以有用降低风险,先于外部机构发现种种破绽。他说:“企业应起劲地将部署最佳实践作为自身平安设计的一个主要组成部门。在思量与外部研究职员互助之前,应在内部先形成协力。”

Hellickson也指出:“对于企业来说,针对差其余示例场景举行测试也是一种不错的做法,这样可以发现一些问题,并让执行团队和执法照料介入其中。桌面演练也是平安意识教育一个主要手段。”

03

在事宜治理流程中确立外部平安转达响应机制

确保企业的事宜治理团队制订有响应(破绽征采者、营业互助同伴、执法部门或客户的)外部平安转达的机制。Hellickson说:“企业事故处置团队制订有响应来自内部平安工具、盘算系统、网络传感器等警报的机制。和事故处置团队一样,企业也需要制订观察和响应外部平安转达的机制。所有的事宜处置和响应机制都应有一个明确的流程,以对情报泉源举行优先排序、审查和分类,直至问题被解决。”

Hellickson以为,这个机制还应有一个内置的升级程序,并提前明确团队成员在此类事宜中的角色和职责。思量到网络攻击种类繁多,企业应制订清晰的事宜处置和响应设计,对事宜信息吸收的每个环节举行详细说明并对这些信息举行适当分类。

新二皇冠最新手机登录

新二皇冠最新手机登录(www.22223388.com)实时更新发布最新最快最有效的新二皇冠最新手机登录网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

Pathlock的董事长Kevin Dunne指出,若是需要对生产代码中的破绽举行响应,那么事宜治理团队需要做好全力以赴的准备。他说:“若纰谬这些破绽加以解决,那么这些破绽很快就会在黑市上被出售。若是解救不实时,那么这些破绽就可能被造孽分子行使。”

04

做好从其他部门抽调职员的准备

那些用于吸收外部平安转达的邮箱和电话号码必须由IT或平安部门认真。这两个部门要做好随时观察和修补问题的准备。制订一个在需要时可快速从企业其他部门抽调人手的设计同样异常主要。Lindstrom指出,这是由于在与外部平安研究职员或破绽征采者互助时,谁都无法展望事宜将会若何生长。

例如,外部研究职员可能希望通过讲述破绽而获得奖励,然则企业没有关于处置此类破绽讲述的明确划定。在这种情形下,平安团队可能需要法务部门的职员与外部研究职员举行谈判。Lindstrom说:“破绽讲述处置欠妥可能会损害企业的声誉和品牌。让相同团队和营销团队的成员介入进来可能会起到意想不到的效果。在破绽讲述处置方面,存在着大量的变量。整个事情的处置现实上与相同交流和声誉有着亲热地联系。”

05

制订破绽托管协作/破绽奖励设计

大型企业和具有主要民众形象的机构应思量与HackerOne和BugCrowd等破绽披露机构签约。此类设计为外部各方提供了一种机制。在这种机制下,外部能够以认真任的方式向企业转达他们发现的破绽或隐私泄露问题。

尺度普尔全球情报公司的Crawford指出,企业可以通过破绽转达设计将整个破绽发现事情外包出去。虽然有了这些设计,然则企业仍然需要有优越的内部事宜响应能力,由于它们可以在初始阶段辅助企业吸收和响应由外部破绽研究职员提供的信息并与之相同交流。此外,Crawford还指出,这些项目可让第三方研究职员和破绽征采者有设计的寻找企业应用程序和服务中的破绽,从而最大限度地降低企业面临的风险。

Dunne说:“现在,许多企业都对外宣布了自己的破绽赏金或破绽发现设计,以向自力的第三方研究职员征集破绽信息。”通常情形下,若是企业拥有一个或多个面向消费者的服务,那么这些企业往往对照容易征集到破绽信息。像旅店业、零售业、旅游业和消费金融业等行业通常都市制订极具吸引力的破绽赏金项目。

与此同时,Dunne还指出:“若是企业经常会收到第三方研究职员自动提供的破绽信息,然则却还没有确立起响应简直认机制,那么他们现在应当思量确立起来这种机制。”纵然企业不会为已识别出的破绽提供奖励,他们也最好制订一个设计,以响应并确认转达的破绽信息,并将解救设计实时见告研究职员和客户。他说:“若是破绽信息已经被转达,然则企业却无动于衷,那么这对企业是极为晦气的。纰谬转达的破绽信息举行确认,那么就相当于认可企业没有认真看待平安问题,也不重视客户的数据。”

06

征集威胁情报时需明确一些问题

Dunne 指出,与自力的研究职员和破绽征采者互助以获取破绽信息和威胁情报的企业应当认真思量几个要害问题。例如,企业需要决议是让所有的人都知道企业的破绽发现项目,照样只向特定的研究职员公然。企业必须确定自己对哪些类型的平安问题或隐私问题最为感兴趣。企业需要提前制订设计以对讲述的平安问题睁开测试。此外,企业还要确定是在生产环境中睁开测试,照样在自力的模拟生产环境中举行测试。

此外,企业还必须要提前明确是否愿意为破绽信息讲述者提供奖励,以及奖励金额是牢靠的照样凭证问题的严重水平举行调整。即,这些奖金是不是高于这些破绽在黑市上的售价。

作者:本文作者Jaikumar Vijayan为一名专注于手艺的自由撰稿人,专门研究关于盘算机平安和隐私等课题。

原文网址:https://www.csoonline.com/article/3614

588/6-tips-for-receiving-and-responding-to-third-party-security-disclosures.html

编译:陈琳华

微信排版:牛可歆

排版审核:刘 沙

更多干货推荐

  • 评论列表:
  •  ALLBET欧博真人客户端
     发布于 2021-07-26 00:00:01  回复
  • 环球UG官网欢迎进入环球UG官网(UG环球),环球UG官方网站:www.ALLbetgame.us开放环球UG网址访问、环球UG会员注册、环球UG代理申请、环球UG电脑客户端、环球UG手机版下载等业务。这里太友好了
    •  皇冠APP
       发布于 2021-07-29 07:13:18  回复
    • 而且我们要明晰,伊朗也是有核国家,而且其军事气力远强于伊拉克和阿富汗这些国家。美国一旦对伊朗“动”武,其军队必将遭到伟大损失,‘而且其在海’外驻军随时都市有遭受核袭击《的》可(能)。这个时刻若是再有其他国家介入进来,美军《的》损失将会更大,天下第一强军将成为历史。作者大神!

添加回复:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。