Одно дело — находить и исправлять недостатки, и совсем другое — эффективно доводить до пользователей касающиеся безопасности обновления и сведения о рисках. Это урок, который гигант рынка сетевого оборудования Cisco Systems принял близко к сердцу и теперь меняет способы управления выявленными PSIRT проблемами защиты и оповещения о них.
Cisco сделает информацию по безопасности более прозрачной и ценной для пользователей. Изменения в порядок оповещения PSIRT вносятся спустя несколько недель после того, как клиенты Cisco подверглись атаке, известной как SYNful Knock, о которой сообщила специализирующаяся на безопасности фирма FireEye. Хотя по времени случай с SYNful Knock и обновление политики PSIRT оказались близкими, в Cisco утверждают, что эти события никак не связаны.
«Мы обсуждали данный вопрос с нашими клиентами на протяжении нескольких месяцев», — заявил главный инженер подразделения Cisco PSIRT Security Research and Operations Омар Сантос.
Cisco рассматривает реформу PSIRT как упрощение процесса распространения корпорацией информации об уязвимостях. Одним из элементов новой политики PSIRT является рейтинг Security Impact Rating (SIR), который теперь прилагается к сообщению об уязвимости. «SIR — упрощенный способ категоризации уязвимостей на основе CVSS. Рейтинг будет весьма наглядно представлен на странице с сообщением об уязвимости», — пояснил Сантос.
Common Vulnerability Scoring System (CVSS) — это стандартизированный способ получения количественной оценки серьезности конкретной уязвимости. По словам Сантоса, в обновленных сообщениях PSIRT вместо сложных количественных показателей SIR будет четко указывать пользователям рейтинг — критический, высокий, средний или низкий. «Кроме того, он дает более точное и понятное представление о риске в том случае, когда имеются дополнительные факторы, которые недостаточно учитываются в CVSS», — пояснил Сантос.
Говоря об уязвимостях, Сантос уточнил, что в каждом сообщении сохраняется раздел Exploitation and Public Announcements, в котором Cisco PSIRT документирует возможности использования уязвимостей. «Кроме того, мы добавили новый раздел Indicators of Compromise, чтобы информировать клиентов, за чем следует наблюдать как за признаками вторжения», — сообщил он.
Cisco планирует выпустить API-интерфейс, который позволит клиентам напрямую получать и интегрировать информацию об уязвимостях ее продуктов. По словам Сантоса, Cisco будет использовать передовой опыт обеспечения безопасности API и создаст ключи API для идентификации пользователей.
«Будет поддерживаться только команда GET HTTP. Это означает, что пользователи смогут лишь получать информацию через API и не смогут передавать какие-либо уведомления, изменять информацию или нарушать целостность того, что опубликует Cisco», — заявил Сантос.
Чего Cisco не станет добавлять в качестве элемента нового порядка информирования о проблемах безопасности, так это формальную программу поощрения за найденные ошибки. Многие составители отчетов и производители усматривают большую ценность в программах вознаграждения за выявленные ошибки как способе быстро войти в сообщество других исследователей проблем безопасности.
«Философия Cisco заключается в том, чтобы не платить за сообщения об ошибках или уязвимостях — в первую очередь потому, что мы добились большого успеха в установлении прямых связей с клиентами и исследовательским сообществом», — пояснил Сантос.
Хотя Cisco не платит исследователям за сообщения об ошибках, Сантос отметил, что корпорация всегда благодарит тех из них, кто информирует об уязвимостях, если только они не требуют публичного признания своих заслуг. Что касается глубинных причин, то Cisco не тратит деньги на программы вознаграждения за найденные ошибки, потому что продолжает финансировать собственные команды, которые анализируют ее продукты, выявляют уязвимости и устраняют их.
«Мы рассматриваем такое финансирование как лучший способ потратить деньги для большой организации, чья технология представляет высокий входной порог для исследовательского сообщества, — заявил Сантос. — Формирование основополагающих знаний такого рода — важный элемент любого цикла разработки с активной защитой».