Noll
Den BRITTISKA underrättelsetjänsten har visat hur den väljer vilka säkerhetsproblem att avslöja för teknik — och som inte lämnas ut på grund av STORBRITANNIENS nationella intressen är bättre betjänt av vad GCHQ beskriver som att “behålla” kunskap.
För första gången någonsin, GCHQ och dess it-arm National Cyber Security Centre (NCSC) har visat att aktier process som används för att avgöra om en sårbarhet lämnas ut eller inte lämnas ut, när den upptäcks.
Det betyder i slutändan att ibland GCHQ inte berätta för ett företag om deras programvara är sårbart för it-angrepp och dataintrång om det bedöms vara ett bättre alternativ för den nationella säkerheten.
När en tidigare okänd sårbarhet upptäcks, standard position att avslöja det, men om det tjänar det nationella intresset, kunskap om sårbarheten kan inte lämnas ut. GCHQ anges att beslut om att hålla inne sårbarheter inte tas på allvar och alltid innebär att “noggranna bedömningar” av en panel av experter från GCHQ, NCSC och försvarsministeriet.
Genom att “behålla” kunskap om sårbarhet, GCHQ hävdar att det kan användas för att samla in underrättelser och störa verksamheten för dem som försöker skada STORBRITANNIEN, till exempel kriminella grupper, hacking gäng och fientlig nation-states. Det är kontroversiellt, inte varna en leverantör till en bugg som innebär att lämna ett seriöst program sårbarhet okorrigerad, eventuellt sätta användarna i riskzonen om andra hackare upptäcka det också.
Beslut fattas om att släppa eller behålla sårbarheter som bygger på tre övergripande kriterier: eventuell sanering, operativa behovet och defensiv risk.
Eventuell sanering undersöker vilka åtgärder som kan vidtas för att mildra effekterna av sårbarhet och om att släppa det skulle ha en negativ inverkan på den nationella säkerheten, till exempel genom att tillhandahålla information som angripare kan använda för att genomföra kampanjer.
Operativa behovet anser intelligens värdet av den BRITTISKA behålla information om sårbarhet, genom att undersöka den operativa värde och intelligens möjligheter som erbjuds genom att behålla den, samt att ifrågasätta hur nödvändigt att behålla den sårbarhet som skulle vara till stöd för underrättelsetjänsten och om offentliggörandet det kommer att påverka den operativa förmågan av partner.
SE: Vad är cyberkrig? Allt du behöver veta om den skrämmande framtiden för digital konflikt
GCHQ och NCSC också undersöka defensiv risk för att inte släppa information om att släppa sårbarhet — detta gäller till säkerhet för allt, från myndigheter till kritisk nationell infrastruktur, till privatpersoner, företag och andra nationer som kan påverkas genom att behålla den sårbarhet.
Frågor som ställs när man undersöker detta inkluderar:
Hur troligt är det att denna sårbarhet är/skulle kunna upptäckas av någon annan?Hur troligt är det att denna sårbarhet kan utnyttjas av någon annan?Vilken teknik/sektor drabbas om vänster unpatched?Vad är det risk för skador om sårbarheten utnyttjas?Utan en patch tillämpas på programvara finns andra riskreducerande möjligheter möjligt såsom ändringar i konfigurationen?
“Jag hoppas att den detalj som vi har publicerat i dag hjälper till att lugna människor som vi gör vårt bästa för att skydda den BRITTISKA, även om säkerhetsproblem upptäcks,” sade Ian Levy, teknisk direktör på NCSC.
Status för en balanserad sårbarhet sägs vara över regelbundet för att säkerställa att undanhålla det är fortfarande den bästa åtgärden-särskilt om ny information kommer fram i ljuset.
Men, GCHQ medger också att det finns undantag som innebär att vissa sårbarheter inte utsätts för aktier processen, bland annat när sårbarheter har genomgått en liknande process av andra nationer och därefter delas med STORBRITANNIEN.
En sårbarhet kan också vara kvar om programvaran är inte längre stöds av säljaren, eftersom om sårbarheten blev offentligt, det skulle finnas någon hjälp av lapp-system för att hindra den från att bli utnyttjade. GCHQ kommer också att välja att inte göra sårbarheter allmänheten om en enhet anses vara så osäker, det kan inte möjligen vara fast-något som de aktier process refererar till som “secure by design”.
SE: 10 sätt att öka användarnas it-säkerhet IQ (gratis PDF)
I de fall där sårbarheter har lämnats ut, GCHQ kommer att arbeta tillsammans med säljaren och kommer inte att offentligt avslöja det innan begränsning görs tillgänglig.
Medan GCHQ hävdar att vissa sårbarheter måste vara balanserade för att hjälpa STORBRITANNIENS nationella intressen, världen har redan sett de negativa effekterna av vad som kan hända när en okänd sårbarhet finner sin väg in i naturen.
Den globala WannaCry ransomware attacken var som drivs av EternalBlue, en sårbarhet som används av den AMERIKANSKA cyber intelligence. Men sårbarheten har läckt ut av hackare och trots att Microsoft att släppa en patch för att bekämpa den, Nordkorea som används EternalBlue att distribuera WannaCry ransomware.
Läckt sårbarhet var också utnyttjas av ryska Militära Underrättelsetjänsten för att distribuera NotPetya — en andra global it-attack som gjorde också betydande mängder av skador.
EternalBlue är fortfarande används för att driva it-attacker för att denna dag, som trots publicitet kring sårbarhet, det finns fortfarande massor av system som inte har lappat. Det är därför fullt möjligt att genom att undanhålla sårbarheter, regeringar kan sätta människor i riskzonen från angripare.
LÄS MER OM IT-SÄKERHET
GCHQ över uppnås ” i jakten för att exploatera och cyber vapenhemligheten till att vara en bra spion byrån i det 21: a århundradet: Ruvande startups TechRepublicCyber hot intelligence mot business risk intelligence: Vad du behöver vetaWikiLeaks och CIA: s dataintrång hemligheter, förklarade CNETHur lärande från hackare kan skydda oss från angrepp
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0