Критика от коалиции технологических компаний заставила американское правительство задерживать правила реализации, которые, возможно, создавали помехи исследованию безопасности, но сражение далеко от окончания.Когда американское Министерство торговли предложило правило отрегулировать международную торговлю и совместное использование «программного обеспечения проникновения», взволнованные фирмы безопасности сразу пошли на защиту.
Отраслевые гиганты, такие как Symantec и FireEye, объединились с известными технологическими фирмами, такими как Cisco и Google, для критики регулирующих положений. Предложенные правила, опубликованные в мае, вызвали бы «значительные непреднамеренные последствия», которые «негативно повлияют – а не улучшатся – государство кибербезопасности», указала Cisco в букве Коммерческому Отделу ‘s Бюро Отрасли и безопасности (BIS).Коммерческий Отдел вытянул предложение в конце июля для движения назад к исходной точке, но компании уже обеспокоены вторым проектом правил.
Фирмы безопасности полагаются на международные команды исследователей, чтобы найти и фиксировать уязвимости, для анализа угроз нарушения безопасности и программного обеспечения сборки с наступательными возможностями протестировать обороноспособность – все операции, которым могла угрожать любая будущая политика, которая регулирует международное совместное использование эксплоитного кода и подробных данных уязвимости сказала Джен Эллис, старший директор связей с общественностью и связей с общественностью для фирмы безопасности программного обеспечения Rapid7, eWEEK.«Действительность – то, что это правило могло очень серьезно повлиять на способность исследователей в области безопасности сотрудничать и их способность участвовать с поставщиками во всем мире», сказала она.
«Учитывая, что мы теперь живем в цифровой экономике, которая не имеет границ, нам необходимо поделиться информацией во всем мире. Но если мы ослабляем безопасность продуктов, мы полагаемся, все мы проигрываем в результате».
В то время как текущее сражение сфокусировано на американских фирмах, угроза является международной. Поскольку нарушения продолжают возрастать, мировые правительства ищут политическое оружие, чтобы помочь защитить от киберпреступников и ограничить доступ репрессивных стран к контролю и контролируют инструменты.42 страны, которые подписали Расположение Вассенара, соглашение о соглашении, которое стремится предотвращать наращивание боеприпасов и технологий двойного назначения, которые могли дестабилизировать регионы, обязались реализовывать регулирующие положения, которые управляют программным обеспечением проникновения и использованием.
США являются только последней страной, которая будет работать для проведения политики на программном обеспечении проникновения. Япония уже имеет.
В начале сентября Hewlett-Packard показал, что его Инициатива нулевого дня (ZDI) больше не будет спонсировать конкуренцию Pwn2Own на ежегодной конференции PacWest в Токио из-за проблем, что реализация Японией соглашения Вассенара могла сделать подвергнутым риску компания и исследователи.«Вследствие сложности получения импорта/разрешений на экспорт в реальном времени в странах, которые участвуют в Расположении Вассенара, ZDI уведомил организатора конференции, Dragos Ruiu, что это не будет проводить конкурс Pwn2Own в PacSecWest в ноябре», фирма заявила предоставленный eWEEK.
Определение Вассенара программного обеспечения проникновения фокусируется на программах, которые разработаны для хитрости инструментов обнаружения или защитных контрмер и которые извлекают или изменяют данные или выполняют внешний код.В то время как определение является более узким, чем американское правило, оно все еще делает много инструментов, и методы раньше защищали включающий сети предмет испытания на пенетрацию к затратам и задержкам утверждения лицензии, сказал Марк Кахр, CTO и соучредитель Synack, eWEEK.