Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

ИБ. Перспективы банка уязвимостей ФСТЭК на PHDays

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

С ФСТЭК в секции на PHDays 2019 обсуждали вопросы уязвимостей с техническим ИБ сообществом. Показали статистику за последние годы – 2х кратный рост в год.


 В середине прошлого года ФСТЭК опубликовали регламент раскрытия уязвимостей. Это не обязательный документ, но в общем он показывает типовой сценарий действий участников раскрытия уязвимостей. При необходимости и обосновании сроки могут продлеваться.




Более плотную работу с вендорами начали именно после принятия регламента. Сейчас есть более 60 уязвимостей «нулевого дня» по которым вендоры долго не реагируют – в ближайшее время будут публиковать без отработки вендором (в урезанном объёме).


ФСТЭК жаловался, что в 2016 году разработали стандарт по безопасной разработке, а к 2019ому можно по пальцам пересчитать количество компаний, задекларировавших его применение.


В рамках обсуждения от участников звучали идеи:

·       указать на сайте ФСТЭК контактов вендоров для оперативной связи при обнаружении информации об уязвимости (что-то подобноенедавно предлагал в блоге)

·       убрать пункт об отказе вендора в устной форме

·       включить в НПА к операторам и лицензиатам сообщать об уязвимостях

·       иногда когда раскрывается уязвимость в продукте одного вендора не учитывается возможность наличия аналогичной уязвимости в продуктах другого вендора


Ответы на заранее подготовленные и живые вопросы от аудитории:

·       откуда берут данные? из открытых источников с использованием ИИ, также из анализа исходного кода

·       как обеспечат качественный анализ уязвимостей для сертифицированных СЗИ – будут повышать требования для спецов испытательных лабораторий; подготовили специальный курс

·       какие риски у исследователей? Для занимающихся противоправной деятельность – есть риск

·       заимствование информации? Оно конечно есть, особенно по западным вендорам; но есть и уникальный контент, особенно по российским производителям

·       кто проверяет актуальность информации? ФСТЭК, их институт, привлекаемые организации

·       будет ли связь уязвимостей с угрозами? Да, но в этом году будут прорабатывать структурирование угроз (видят недостатки), а в следующие уже будут делать связь с уязвимостями

·       что с проектом методики моделирования угроз от 2015? Когда утвердим узнаете. Задача есть, сроков назвать не могу.   На конференции большое количество специалистов, которые и без ФСТЭК знают, как моделировать угрозы.

·       как происходит сертификация Windows 10? Никак. Обратитесь к разработчику Microsoft – они вам подскажут. Позиция ФСТЭК до них доведена. Проблема в сборе телеметрии.



Оцените материал:
Total votes: 24
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.