Cisco обновляет свои усилия Команды Реагирования на инциденты Безопасности продуктов так, чтобы информация о безопасности была более прозрачной и полезной пользователям.Открытие и фиксация дефектов являются одной проблемой, в то время как эффективная передача обновлений системы защиты и рисков для пользователей является совсем другим.
Это – урок, что сетевой гигант, которого принимает близко к сердцу Cisco Systems, поскольку это переопределяет, как это управляет и передает проблемы безопасности от Команды Реагирования на инциденты Безопасности продуктов Cisco (PSIRT).Новые усилия PSIRT вовлекают Cisco, делающую информацию о безопасности, более прозрачную и ценную пользователям. Коммуникационная перестройка PSIRT следует спустя несколько недель после того, как на клиентов Cisco повлияло нападение, известное как Удар SYNful, о какой фирме безопасности FireEye сообщил. Хотя с точки зрения синхронизации, обновление PSIRT близко к инциденту Удара SYNful, Cisco утверждает, что эти два не связаны.
«Мы говорили об этом с нашими клиентами в течение нескольких месяцев», сказал Омар Сантос, основной инженер Cisco безопасность PSIRT Исследование и Операции, eWEEK.Cisco помещает перестройку PSIRT как оптимизацию того, как компания передает информацию об уязвимости. Часть новой коммуникации PSIRT является Оценкой влияния безопасности (SIR), которая теперь присоединена к информации о раскрытии уязвимости.
«SIR является упрощенным способом категоризировать уязвимости, основанные на счете CVSS, и это будет очень видимо на целевой странице раскрытия», заявил Santos.Общие уязвимости, выигрывая систему (CVSS) являются стандартизованным способом обеспечения численного значения для серьезности данной уязвимости. Santos объяснил, что с обновленными сведениями PSIRT, вместо сложных числовых метрик, SIR ясно определит для пользователей оценку критических, высоко, носителя или низко.«Это также обеспечивает более точное и простое представление риска, если существуют дополнительные факторы, не должным образом полученные в счете CVSS», заявил Santos.
Как часть рассмотрения риска уязвимости, Santos прокомментировал, что каждая консультация продолжает иметь раздел под названием Эксплуатация и Публичные заявления, где Cisco PSIRT документирует пригодность к эксплуатации уязвимостей.«Мы также добавили новый раздел под названием Индикаторы Компромисса для уведомления клиентам по вопросам того, что наблюдать за как доказательство проникновения», заявил Santos.
Cisco планирует предложить API, который позволит клиентам непосредственно использовать и интегрировать информацию об уязвимости продукта. Santos объяснил, что Cisco применит методы наиболее успешной практики для безопасности API и будет иметь ключи API для идентификации пользователей.«Только ПОЛУЧИТЬ глагол HTTP будет поддерживаться, означая, что пользователи только будут в состоянии получить информацию из API и не могут продвинуть уведомления, информацию об изменении или поставить под угрозу целостность того, что опубликовала Cisco», заявил Santos.
Одна вещь, которую Cisco не добавляет как часть ее раскрытия безопасности, обновляет, любой вид формальной программы субсидии ошибки. Многократные отчеты и поставщики нашли большую стоимость в программах субсидии ошибки как способ быстро насладиться сообщество сторонних исследователей в области безопасности.
«Общая философия Cisco не должна платить за отчеты об ошибке или уязвимости, прежде всего потому что мы имели большой успех, взаимодействующий непосредственно с клиентами и научным сообществом», заявил Santos.В то время как Cisco фактически не платит исследователям за отчеты об ошибках, Santos отметил, что Cisco всегда благодарит исследователей в области безопасности, которые сообщают об уязвимостях продукта, если они не запрашивают не быть подтвержденными публично.
На базовом уровне Cisco не инвестирует в программы субсидии ошибки, потому что компания продолжает инвестировать в ее собственные команды для разрушения продуктов, найдите уязвимости и фиксируйте их.«Для крупной организации, технология которой излагает значительные входные барьеры научному сообществу, мы рассматриваем эти инвестиции как лучший способ потратить наши доллары», заявил Santos. «Создание этого типа основного вида деятельности является важной частью любого активного безопасного жизненного цикла развития».Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.