Den Europæiske Union (EU) kan snart kræve, at softwareudgivere afslører uoprettede sårbarheder til offentlige myndigheder inden for 24 timer efter en udnyttelse. Mange it-sikkerhedsprofessionelle ønsker, at denne nye regel, der er fastsat i artikel 11 i EU's Cyber Resilience Act (CRA), skal genovervejes.
Reglen kræver, at leverandører oplyser, at de kender til en sårbarhed, der aktivt udnyttes inden for en dag efter at have lært om det, uanset patch-status. Nogle sikkerhedseksperter ser potentialet i, at regeringer misbruger kravene til oplysning om sårbarhed til efterretnings- eller overvågningsformål.
I et åbent brev underskrevet af 50 fremtrædende cybersikkerhedsprofessionelle på tværs af industrien og den akademiske verden, blandt dem repræsentanter fra Arm, Google og Trend Micro, argumenterer underskriverne for, at 24-timers vinduet ikke er nok tid - og vil også åbne døre for modstandere, der hopper på sårbarhederne uden at give organisationer nok tid til at løse problemerne.
"Selvom vi værdsætter CRA's mål om at forbedre cybersikkerheden i Europa og udenfor, mener vi, at de nuværende bestemmelser om afsløring af sårbarhed er kontraproduktive og vil skabe nye trusler, der underminerer sikkerheden for digitale produkter og de personer, der bruger dem," hedder det i brevet.
Gopi Ramamoorthy, seniordirektør for sikkerhed og GRC hos Symmetry Systems, siger, at der ikke er nogen uenighed om, hvor presserende det er at lappe sårbarhederne. Bekymringerne fokuserer på at offentliggøre sårbarhederne, før opdateringer er tilgængelige, da det efterlader organisationer i fare for angreb og ude af stand til at gøre noget for at forhindre det.
"At offentliggøre sårbarhedsoplysningerne før patchning har givet anledning til bekymring for, at det kan muliggøre yderligere udnyttelse af de ikke-patchede systemer eller enheder og sætte private virksomheder og borgere i yderligere risiko," siger Ramamoorthy.
Prioriter patching frem for overvågning
Callie Guenther, senior manager for cybertrusselsforskning hos Critical Start, siger, at hensigten bag EU's Cyber Resilience Act er prisværdig, men det er afgørende at overveje de bredere implikationer og potentielle utilsigtede konsekvenser af, at regeringer har adgang til sårbarhedsoplysninger. før opdateringer er tilgængelige.
"Regeringer har en legitim interesse i at sikre national sikkerhed," siger hun. "Men brug af sårbarheder til efterretninger eller offensive kapaciteter kan efterlade borgere og infrastruktur udsat for trusler."
Hun siger, at der skal findes en balance, hvor regeringer prioriterer patchning og beskyttelse af systemer frem for udnyttelse af sårbarheder, og foreslog nogle alternative tilgange til afsløring af sårbarheder, startende med opdelt afsløring.
"Afhængig af sværhedsgraden og virkningen af en sårbarhed kan der indstilles forskellige tidsrammer for offentliggørelse," siger Guenther. "Kritiske sårbarheder kan have et kortere vindue, mens mindre alvorlige problemer kan få mere tid."
Et andet alternativ vedrører foreløbig meddelelse, hvor leverandører kan få en foreløbig meddelelse, med en kort henstandsperiode, før den detaljerede sårbarhed afsløres til et bredere publikum.
En tredje måde fokuserer på koordineret afsløring af sårbarheder, som tilskynder til et system, hvor forskere, leverandører og regeringer arbejder sammen om at vurdere, lappe og afsløre sårbarheder på en ansvarlig måde.
Hun tilføjer, at enhver regel skal indeholde eksplicitte klausuler for at forbyde misbrug af afslørede sårbarheder til overvågning eller stødende formål.
"Derudover bør kun udvalgt personale med tilstrækkelig godkendelse og uddannelse have adgang til databasen, hvilket reducerer risikoen for lækager eller misbrug," siger hun. "Selv med eksplicitte klausuler og begrænsninger er der adskillige udfordringer og risici, der kan opstå."
Hvornår, hvordan og hvor meget skal afsløres
John A. Smith, CEO hos Conversant Group, bemærker, at ansvarlig offentliggørelse af sårbarheder er en proces, der traditionelt har inkluderet en gennemtænkt tilgang, der gjorde det muligt for organisationer og sikkerhedsforskere at forstå risikoen og udvikle patches, før de afslørede sårbarheden for potentielle trusselsaktører.
"Selvom CRA måske ikke kræver dybe detaljer om sårbarheden, er det faktum, at man nu er kendt for at være til stede, nok til at få trusselsaktører til at sondere, teste og arbejde for at finde en aktiv udnyttelse," advarer han.
Fra hans perspektiv bør sårbarheden heller ikke rapporteres til nogen individuel regering eller EU - at kræve dette vil reducere forbrugernes tillid og skade handelen på grund af nationalstaternes spionagerisici.
"Afsløring er vigtig - absolut. Men vi skal afveje fordele og ulemper ved, hvornår, hvordan og hvor mange detaljer, der gives under forskning og opdagelse for at mindske risikoen,” siger han.
Smith bemærker, at et alternativ til denne "formentlig knæfaldende tilgang" er at kræve, at softwarevirksomheder anerkender rapporterede sårbarheder inden for en specificeret, men fremskyndet tidsramme, og derefter kræve, at de rapporterer tilbage om fremskridt til den opdagende enhed regelmæssigt, hvilket i sidste ende giver en offentlig rettelse inden for højst 90 dage.
Retningslinjer for hvordan modtage og videregive sårbarhedsoplysninger, samt teknikker og politiske overvejelser til rapportering, er allerede beskrevet i ISO / IEC 29147.
Påvirkninger ud over EU
Guenther tilføjer, at USA har mulighed for at observere, lære og efterfølgende udvikle velinformerede cybersikkerhedspolitikker, samt proaktivt forberede sig på eventuelle potentielle konsekvenser, hvis Europa bevæger sig for hurtigt fremad.
"For amerikanske virksomheder er denne udvikling af afgørende betydning," siger hun. "Mange amerikanske virksomheder opererer på globalt plan, og reguleringsændringer i EU kan påvirke deres globale aktiviteter."
Hun påpeger, at ringvirkningen af EU's reguleringsbeslutninger, som det fremgår af GDPR's indflydelse på CCPA og andre amerikanske privatlivslove, tyder på, at europæiske beslutninger kunne forudsætte lignende lovgivningsmæssige overvejelser i USA.
"Enhver sårbarhed, der afsløres i hast på grund af EU-regler, begrænser ikke dens risici til Europa," advarer Guenther. "Amerikanske systemer, der anvender den samme software, ville også blive afsløret."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/edge/security-pros-warn-that-eu-vulnerability-disclosure-rule-is-risky
- :har
- :er
- :ikke
- :hvor
- 11
- 24
- 50
- 7
- a
- Om
- absolut
- Academy
- adgang
- anerkende
- tværs
- Lov
- aktiv
- aktivt
- aktører
- Derudover
- Tilføjer
- agenturer
- sigte
- tillade
- allerede
- også
- alternativ
- amerikansk
- blandt
- an
- ,
- og infrastruktur
- enhver
- noget
- værdsætter
- tilgang
- tilgange
- ER
- velsagtens
- argumentere
- opstå
- ARM
- artikel
- AS
- vurdere
- At
- angribe
- publikum
- til rådighed
- tilbage
- Balance
- BE
- før
- bag
- være
- Tro
- Beyond
- bredere
- men
- by
- CAN
- kapaciteter
- advarer
- CCPA
- center
- Direktør
- udfordringer
- Borgere
- clearance
- prisværdigt
- Handel
- Virksomheder
- Bekymringer
- tillid
- ULEMPER
- Konsekvenser
- Overvej
- overvejelser
- forbruger
- koordineret
- Selskaber
- kunne
- kontraproduktivt
- CRA
- skabe
- kritisk
- Nuværende
- Cyber
- Cybersecurity
- Database
- dag
- Dage
- afgørelser
- dyb
- Afhængigt
- detail
- detaljeret
- detaljer
- udvikle
- Udvikling
- Enheder
- digital
- Direktør
- offentliggøre
- videregivelse
- opdage
- opdagelse
- do
- gør ikke
- døre
- grund
- i løbet af
- effekt
- anvendelse
- muliggøre
- aktiveret
- tilskynder
- forbedre
- nok
- sikring
- enhed
- EU
- Europa
- europæisk
- europæiske Union
- Den Europæiske Union (EU)
- Endog
- dokumenteret
- Exploit
- udnyttelse
- Exploited
- udnytte
- udsat
- Faktisk
- Finde
- Fix
- fokuserer
- Til
- Videresend
- fra
- yderligere
- GDPR
- få
- given
- Global
- global skala
- Regering
- regeringsorganer
- regeringer
- nåde
- gruppe
- Have
- have
- he
- hans
- HOURS
- Hvordan
- How To
- Men
- HTTPS
- if
- KIMOs Succeshistorier
- implikationer
- betydning
- vigtigt
- in
- omfatter
- medtaget
- individuel
- enkeltpersoner
- industrien
- indflydelse
- oplysninger
- Infrastruktur
- Intelligens
- hensigt
- interesse
- spørgsmål
- IT
- det sikkerhed
- ITS
- jpg
- Kend
- kendt
- Lækager
- LÆR
- læring
- Forlade
- legitim
- mindre
- brev
- leder
- mange
- maksimal
- Kan..
- mikro
- misbruge
- afbøde
- mere
- bevæger sig
- meget
- skal
- nation
- Nation stat
- national
- national sikkerhed
- Ny
- ingen
- Noter
- underretning
- nu
- talrige
- observere
- of
- offensiv
- on
- ONE
- kun
- åbent
- betjene
- Produktion
- Opportunity
- or
- organisationer
- ud
- skitseret
- i løbet af
- Paramount
- patch
- Patches
- lappe
- periode
- Personale
- perspektiv
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- politikker
- politik
- potentiale
- indledende
- Forbered
- præsentere
- forhindre
- Prioriter
- Beskyttelse af personlige oplysninger
- private
- Private virksomheder
- behandle
- Produkter
- professionelle partnere
- Progress
- fremtrædende
- foreslog
- PROS
- beskyttelse
- forudsat
- leverer
- offentlige
- udgivere
- Publicering
- formål
- sætte
- hurtigt
- hævet
- forgreninger
- reducere
- reducere
- Uanset
- regelmæssigt
- regler
- lovgivningsmæssige
- indberette
- rapporteret
- Rapportering
- Repræsentanter
- kræver
- Krav
- Kræver
- forskning
- forskere
- modstandskraft
- ansvarlige
- restriktioner
- Ripple
- Risiko
- risici
- Risikabel
- Herske
- s
- samme
- siger
- Scale
- Anden
- sikkerhed
- se
- senior
- sæt
- svær
- hun
- Skift
- bør
- Underskrivere
- underskrevet
- lignende
- Software
- nogle
- snart
- specificeret
- spionage
- starte
- Starter
- Tilstand
- Stater
- Status
- Efterfølgende
- foreslår
- overvågning
- systemet
- Systemer
- teknikker
- Test
- at
- deres
- Them
- derefter
- Der.
- de
- Tredje
- denne
- trussel
- trusselsaktører
- trusler
- tid
- tidsramme
- til
- sammen
- også
- traditionelt
- Kurser
- Trend
- Ultimativt
- ude af stand
- Underminere
- forstå
- union
- opdateringer
- haster
- us
- brug
- ved brug af
- Varierende
- leverandører
- afgørende
- Sårbarheder
- sårbarhed
- sårbarhedsoplysninger
- ønsker
- Vej..
- we
- veje
- GODT
- hvornår
- som
- mens
- WHO
- bredere
- vilje
- vindue
- med
- inden for
- uden
- Arbejde
- arbejde sammen
- arbejder
- ville
- zephyrnet
