El debate sobre lo que constituye la divulgación responsable se lleva a cabo desde hace unos 20 años, sin un final a la vista. No es difícil ver por qué, con investigadores apasionados siempre a la caza de errores, grandes variaciones de los proveedores cuando se trata de solucionar problemas y reputaciones que construir y preservar en ambos lados.
Para comprender el mejor enfoque para la divulgación responsable, es importante que los CISO primero comprendan cómo surge la controversia. La causa más común es cuando los detalles técnicos de una vulnerabilidad se publican antes de que una solución esté disponible o sea ampliamente adoptada, particularmente cuando se acompaña de un código de explotación de prueba de concepto fácilmente reutilizable.
Por un lado están aquellos que consideran que los investigadores están actuando de manera irresponsable al habilitar atacantes reales y llamar la atención sobre los problemas. Por otro lado, están aquellos que consideran que dicha divulgación es de interés público, ya que ayuda a los usuarios del producto a tomar decisiones informadas e implementar sus propias detecciones y mitigaciones en ausencia de un parche o solución del proveedor.
Los proveedores de software más maduros se enfrentan a un gran escrutinio público sobre cuán receptivos y responsables son sus esfuerzos de divulgación y corrección.
Sin duda, este debate continuará con su rabia. Pero cuando miras muchas de las controvertidas divulgaciones completas que han ocurrido a lo largo de los años, la comunicación, o la falta de ella, está en la raíz. Establecer claramente las reglas de participación contribuye en gran medida a mejorar las cosas.
Por ejemplo, aunque muchos consideran que 90-120 días es un plazo máximo razonable para remediar o afrontar la divulgación pública, según Project Zero: política y divulgación: edición 2021, hemos visto numerosos casos en los que ha sido necesario un año o más para que una organización proporcione una solución completa para un error informado.
Este es particularmente el caso de las empresas menos maduras, especialmente aquellas que implementan dispositivos de Internet de las cosas (IoT) que son difíciles de actualizar y dependen en gran medida de proveedores de software o componentes de terceros para proporcionar una solución que luego se puede integrar en su producto.
La buena noticia es que las cosas están mucho más claras de lo que solían ser para el CISO típico, especialmente aquellos que trabajan para empresas que no se dedican principalmente al desarrollo de software.
Existe una amplia gama de guías y estándares de buenas prácticas disponibles, como el Kit de herramientas de divulgación de vulnerabilidades del NCSC – NCSC.gov.uk e ISO – ISO / IEC 29147: 2018 – Tecnología de la información – Técnicas de seguridad – Divulgación de vulnerabilidades. Estos brindan a los CISO y gerentes de seguridad consejos claros sobre cómo establecer canales de comunicación y establecer expectativas. Los CISO pueden difundirlos a través del sitio web de su organización o facilitar su búsqueda adoptando el estándar emergente security.txt (security.txt: estándar propuesto para definir políticas de seguridad (securitytxt.org)).
Las recompensas de errores también facilitan que las organizaciones soliciten de manera proactiva la presentación de errores de los investigadores públicos. Sin embargo, están destinados a complementar, en lugar de reemplazar, un programa de garantía de seguridad bien organizado y estructurado. También deben ir acompañados de una inversión en equipos para clasificar y resolver rápidamente los errores entrantes.
Adoptar los puntos anteriores debería facilitar que un investigador de seguridad averigüe dónde informar las vulnerabilidades y ayudar a reducir la posibilidad de que los informes de vulnerabilidades se pierdan en un buzón de correo no supervisado. También establecerían expectativas sobre cuánto tiempo tomará una solución y si el investigador puede esperar una recompensa o reconocimiento por informar un problema.
La mayoría de los investigadores esperarán antes de dar a conocer las vulnerabilidades si la organización puede ser contactada, responde y proporciona actualizaciones periódicas, lo que significa que está progresando con una solución.
Además de esto, se recomienda a los CISO y los equipos de seguridad que vigilen de cerca las divulgaciones públicas de alto perfil y las noticias de la industria, para que estén al tanto de las últimas vulnerabilidades sin parchear o explotadas activamente y puedan responder rápidamente cuando algo más allá del ciclo estándar de administración de parches sea necesario.
En resumen, ahora hay muchas herramientas y guías disponibles para equipar a los CISO para manejar bien la divulgación de vulnerabilidades. La mayoría de las personas que informan sobre vulnerabilidades genuinas tienen buenas intenciones: una comunicación clara y una buena administración de cualquier programa de divulgación es la clave para minimizar los problemas. Todo lo que ayude a fortalecer la seguridad y proteja a las empresas de piratas informáticos maliciosos reales debe ser algo bueno y debe ser adoptado por los CISO.
