آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

چرا تنها برخی از آسیب‌پذیری‌ها افشا می‌شوند؟

عنوانچرا تنها برخی از آسیب‌پذیری‌ها افشا می‌شوند؟
گروه اصلیOther
شرح خبر

آژانس امنیت سایبری اتحادیه اروپا با نام ENISA، به بررسی مشکلات ناشی از افشای آسیب‌پذیری‌‌ها پرداخته و گزارشی منتشر کرده که عوامل اقتصادی، محرک‌ها و انگیزه‌های رفتاری عاملان افشای آسیب‌پذیری‌ را مورد بررسی قرار می‌دهد.

این گزارش، وجوه اقتصادی بازار اطلاعات امنیتی[1] و نحوه ارتباط آن با افشای آسیب‌پذیری را مورد بررسی قرار می‌دهد. به علاوه به چگونگی تاثیر مفاهیم اقتصاد کلاسیک به این معضل می‌پردازد (تراژدی عوام، اثرات شبکه، عوامل خارجی، اطلاعات نامناسب، انتخاب ناسازگار، تفویض مسوولیت، و مخاطرات اخلاقی)

به گفته Udo Helmbrecht، مدیر اجرایی ENISA، «اقتصاد یک محرک کلیدی امنیت در دنیای مدرن می‌باشد و معمولاً ملاحظات اقتصادی مشخص می‌کنند که برای حل معضلات، از چه رویکردهایی استفاده شود. این گزارش به‌طور کامل این واقعیت را نشان می‌دهد و بینش ارزشمندی در زمینه نحوه رفتار عاملان مختلف در فضای افشای آسیب‌پذیری، ارائه می‌دهد.»

 

بینش‌های کلیدی

طبق یافته‌های محققان، «به‌طور کلی، این مطالعه تعدادی یافته کلیدی ارائه می‌دهد. اولین و مهم‌ترین یافته این تحقیق، نشان‌دهنده اهمیت افشای آسیب‌پذیری و به‌ویژه CVD، در جامعه مدرن می‌باشد. همانطور که در مورد EternalBlue مشاهده شد، آسیب‌پذیری‌هایی که در سخت‌افزارها و نرم‌افزارهای پُرکاربرد وجود دارد، می‌تواند آسیب‌های اجتماعی بزرگی در سراسر جهان ایجاد کند و ضروری است فرآیندهای لازم برای شناسایی، گزارش، رسیدگی، سنجش میزان اهمیت و کاهش آسیب‌پذیری‌ها وجود داشته باشد.»

سایر یافته‌ها عبارتند از:

·         ضروری است که افشای آسیب‌پذیری را به‌عنوان یک اکوسیستم به رسمیت بشناسیم. تمام افرادی که در افشای آسیب‌پذیری نقش دارند، بایستی اهمیت ایجاد و اجرای سازه‌های سودمند، که امکان رخداد مؤثر و کارآمد CVD را فراهم می‌کنند، دریابند.

·         عاملان بایستی منابع، رویکردهای مناسب و استانداردهای داوطلبانه در اختیار داشته باشند.

·         یابندگان، واسط‌ها و فروشنده‌ها بایستی بتوانند به‌طور همزمان و با زبانی مشترک با یکدیگر مشارکت کنند، به‌گونه‌ای که همه طرفین منظور یکدیگر را دریابند.

·         حصول اطمینان از شیوه‌های پناه‌گاه امن و محافظت قانونی برای محققان امنیتی که به شناسایی و گزارش آسیب‌پذیری‌ها می‌پردازند، ضروری می‌باشد.

·         اکثر سازمان‌ها می‌بایست اتخاذ یک فرآیند CVD را مدنظر قرار دهند، و برخی از آن‌ها ممکن است بخواهند یک برنامه باگ باونتی(پاداش باگ)[2] داشته باشند، اما نه به قیمت مداخلات امنیت اطلاعات در مراحل توسعه و تست.

·         در حالی که CVD و برنامه‌های باگ باونتی می‌توانند انواع خاصی از آسیب‌پذیری‌ها را شناسایی کنند، احتمالاً توان شناسایی معضلات ساختاری بزرگ‌تر در سیستم‌های محاسباتی مدرن را ندارند، بنابراین نهادهای حکومتی، محیط‌های آکادمیک و سازمان‌های خصوصی میبایست به سرمایه‌گذاری در تحقیقات امنیتی بلندمدت بپردازند، تا ضعف‌های بنیادی مانند شکاف‌های طراحی یا آسیب‌پذیری‌های پروتکل را شناسایی و بهبود بخشند.

این گزارش بر مبنای تحقیقات موجود، مرور ادبیات (تحقیقات آکادمیک، گزارشات فنی، مقالات رسانه‌ای، و غیره) و مصاحبه با متخصصان جامعه افشای آسیب‌پذیری‌ (نمایندگان دانشگاه‌ها، پلتفرم‌های باگ باونتی، اپراتورهای برنامه افشای آسیب‌پذیری، فروشندگان، و غیره) گردآوری شده است.



[1] InfoSec market

[2] یک برنامه باگ باونتی  (Bounty Bug)به دلیل گزارش باگ‌ها، به خصوص باگ‌هایی که باعث سو استفاده و آسیب پذیری می‌شوند، و اینکه در ازای گزارش این باگ‌ها افراد پاداش دریافت می‌کنند و یا به رسمیت شناخته می‌شوند، مورد توجه بسیاری از وب سایت‌ها و توسعه دهندگان نرم‌افزاری قرار گرفته‌است

آدرس اینترنتی خبرhttps://www.helpnetsecurity.com/2018/12/20/vulnerability-disclosure-economics
تاریخ درج خبر1397-10-05
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2019 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست