Zero
Il regno UNITO i servizi di intelligence hanno dimostrato come sceglie le vulnerabilità di sicurezza per rivelare ai fornitori di tecnologia-e che non sono divulgate, perché il regno UNITO di interesse nazionale è meglio servito da ciò che il GCHQ descrive come ‘mantenendo’ la conoscenza.
Per la prima volta in assoluto, il GCHQ e la sua cyber braccio il National Cyber Security Center (NCSC) ha rivelato i titoli di processo che viene utilizzato per determinare se una vulnerabilità divulgata o non comunicati al momento della scoperta.
In ultima analisi, significa che a volte il GCHQ non dire una società, se il loro software è vulnerabile agli attacchi informatici e hacker se ritenuto essere l’opzione migliore per la sicurezza nazionale.
Quando un precedentemente sconosciuto vulnerabilità, la posizione di default è di divulgare — ma se serve gli interessi nazionali, la conoscenza della vulnerabilità non possono essere divulgate. Il GCHQ afferma che la decisione di sospendere le vulnerabilità non è presa alla leggera e coinvolge sempre ‘rigorosa’, da un panel di esperti GCHQ, il NCSC e il Ministero della Difesa.
Da ‘mantenendo’ la conoscenza della vulnerabilità, il GCHQ afferma che può essere utilizzato per raccogliere informazioni di intelligence e di interrompere le attività di coloro che cercano di danneggiare il regno UNITO, ad esempio, i gruppi del crimine, hacking bande e ostile degli stati-nazione. E ‘ una mossa controversa; non segnalazione di un fornitore per un bug significa lasciare una grave vulnerabilità del software senza patch, mettendo gli utenti a rischio se gli altri hacker a scoprirlo.
Le decisioni sono prese su di se rilasciare o mantenere le vulnerabilità in base a tre criteri generali: eventuale bonifica, la necessità operativa, difensiva e di rischio.
Eventuale bonifica esamina quali azioni possono essere intraprese per mitigare l’impatto della vulnerabilità e se il rilascio avrebbe un impatto negativo sulla sicurezza nazionale, per esempio, fornendo informazioni che gli hacker potrebbero utilizzare per condurre campagne di informazione.
La necessità operativa considera il valore di spionaggio del regno UNITO di ritenzione delle informazioni sulle vulnerabilità, esaminando il valore operativa e di intelligence opportunità del mantenimento, oltre a mettere in dubbio quanto sia vitale mantenendo la vulnerabilità sarebbe quello di aiutare i servizi di intelligence e se rivelare avrà un impatto le capacità operative dei partner.
VEDERE: che Cosa è la guerra cibernetica? Tutto quello che devi sapere su spaventoso futuro del digitale conflitto
Il GCHQ e NNSC anche esaminare difensiva rischio di non rilasciare informazioni circa il rilascio di vulnerabilità — questo vale per la protezione di tutto, dai dipartimenti del governo per infrastrutture nazionali critiche, per i privati cittadini, le imprese e le altre nazioni che potrebbero essere interessati dal mantenendo la vulnerabilità.
Domande poste durante l’esame sono:
Quante probabilità ci sono che questa vulnerabilità è/potrebbe essere scoperto da qualcuno?Quante probabilità ci sono che questa vulnerabilità può essere sfruttata da qualcun altro?Ciò che la tecnologia e/o del settore è esposto se lasciato senza patch?Qual è il potenziale danno se la vulnerabilità viene sfruttata?Senza una patch applicato al software sono altri di mitigazione possibili opportunità di quali modifiche di configurazione?
“Spero che il dettaglio che abbiamo pubblicato oggi aiuta a rassicurare le persone che stiamo facendo del nostro meglio proteggere il regno UNITO, tra cui le vulnerabilità sono trovato”, ha detto Ian Levy, direttore tecnico della NNSC.
Lo stato di un conservato la vulnerabilità è detto di essere regolarmente rivisti per garantire che la detenzione è ancora il miglior corso di azione, soprattutto se emergono nuove informazioni.
Tuttavia, il GCHQ, inoltre, ammette che ci sono delle eccezioni che significa che alcune vulnerabilità non sono sottoposti alle azioni del processo, anche quando le vulnerabilità sono stati sottoposti a un processo simile da altre nazioni e poi condiviso con il regno UNITO.
Una vulnerabilità può essere mantenuta anche se il software non è più supportato dal produttore, perché se la vulnerabilità è stata resa pubblica, non ci sarebbe alcun mezzo di sistemi di permutazione a smettere di essere sfruttati. Il GCHQ anche scegliere di non fare vulnerabilità pubblico, se un dispositivo è considerato essere così insicura, che non può essere risolto. — qualcosa che le azioni del processo si riferisce a come “secure by design”.
VEDERE: 10 modi per aumentare i tuoi utenti cybersecurity IQ (free PDF)
Nei casi In cui le vulnerabilità sono comunicati, il GCHQ, che indagherà il venditore e non rivelare pubblicamente prima di mitigazione messi a disposizione.
Mentre il GCHQ sostiene che alcune vulnerabilità devono essere conservati in modo da aiutare il regno UNITO, gli interessi nazionali, il mondo ha già visto gli effetti negativi di ciò che può accadere quando un certo vulnerabilità trova la sua strada nel selvaggio.
Globale WannaCry ransomware attacco è stato alimentato da EternalBlue, una vulnerabilità utilizzato dalla US cyber intelligence. Tuttavia, la vulnerabilità è stata scoperta da parte di hacker e nonostante Microsoft rilascia una patch per combatterla, la Corea del Nord usato EternalBlue per distribuire WannaCry ransomware.
Perdita di vulnerabilità è stato sfruttato anche da Militari russi di Intelligence per distribuire NotPetya — un secondo global cyber attacco che ha fatto anche significative quantità di danni.
EternalBlue è ancora utilizzata per alimentare i cyber attacchi a questo giorno, nonostante la pubblicità che la vulnerabilità, ci sono ancora un sacco di sistemi che non sono stati corretti. Pertanto, è del tutto possibile che, rifiutandosi di vulnerabilità, i governi potrebbe essere messa a rischio da parte degli aggressori.
PER SAPERNE DI PIÙ SULLA SICUREZZA INFORMATICA
Il GCHQ ‘superato’ in caccia di exploit e cyber-armaIl segreto per essere un grande spy agenzia nel 21 ° secolo: l’Incubazione di startup di TechRepublicminaccia di Cyber intelligence contro i rischi di business intelligence: che Cosa è necessario sapereWikiLeaks e la CIA di hacking di segreti, ha spiegato CNETCome l’apprendimento da parte di hacker possono proteggerci dagli attacchi informatici
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0