6 dicas para receber e responder a divulgações de segurança de terceiros


Sua primeira notificação de sua próxima violação ou ameaça significativa pode vir de fora de sua organização. Tenha esses preparativos em andamento para responder de forma eficaz e rápida à essa entrada em sua análise de inteligência de segurança.

inteligência de segurança violação ou ameaça

As organizações – especialmente as grandes empresas – geralmente não ficam sabendo de uma intrusão ou violação de seus sistemas até que uma parte externa, como um pesquisador de segurança, agência de aplicação da lei ou parceiro de negócios, os alerte sobre isso. A gama crescente de métodos de ataque, o uso crescente de componentes de código aberto e a adoção de serviços em nuvem expandiram significativamente a superfície de ataque em muitas organizações e tornou mais difícil para as equipes de segurança descobrirem as violações por conta própria. A SolarWinds, por exemplo, não sabia que invasores haviam invadido seus sistemas e distribuído malware por meio de seu software até que o fornecedor de segurança FireEye informou a empresa sobre uma violação.

A SolarWinds é uma das muitas em que uma violação permaneceu sem ser detectada por meses, justamente porque ninguém a detectou internamente. Portanto, os processos de recebimento e resposta à inteligência de segurança de entrada – seja uma notificação de violação ou informações sobre uma nova ameaça significativa – de partes externas tornaram-se cada vez mais cruciais nos últimos anos.

“Qualquer pessoa que cria produtos ou serviços que possuem um elemento cibernético deve ter um processo de admissão para que entidades externas possam relatar possíveis problemas que poderiam ter um impacto em seus produtos ou serviços”, disse John Hellickson, consultor CxO, estratégia cibernética da Coalfire .

Aqui, de acordo com ele e outros, estão seis dicas para implementar de forma eficaz esse recurso:

1. Tenha uma política bem definida para divulgações de vulnerabilidades

Certifique-se de comunicar claramente as políticas da sua organização para divulgações de vulnerabilidades a qualquer entidade externa que queira relatar um problema de segurança ou privacidade, diz Pete Lindstrom, Vice-Presidente de pesquisa de segurança da IDC. Explique as expectativas da organização sobre como relatar vulnerabilidades de maneira responsável e forneça um endereço de e-mail, número de telefone ou outra forma pela qual uma parte externa possa relatar uma questão de segurança ou privacidade.

Explique como o relatório ou as informações serão tratados, investigados e resolvidos. Informe a rapidez ou quanto tempo pode levar para examinar e resolver o problema, para que saibam que a informação não foi ignorada. Transmita a terceiros as políticas da organização para compensá-los ou reconhecê-los por suas informações – se você tiver uma. Caso contrário, certifique-se de que o terceiro saiba que não haverá compensação pelas informações, observa Lindstrom.

“Gerenciar as expectativas de terceiros será crucial para seu sucesso e sua reputação”, diz Lindstrom. “Atores públicos não estão operando em sua linha do tempo”, diz ele. Portanto, é importante que eles saibam exatamente o que esperar quando entrarem em contato com su a organização com uma dica de segurança ou privacidade.

Scott Crawford, Diretor de pesquisa de segurança da informação da S&P Global Market Intelligence, aconselha que as organizações aproveitem a orientação, como a contida no padrão ISO/IEC 30111, para elaborar suas práticas de tratamento de vulnerabilidade. Esse padrão pode fornecer orientação sobre como estabelecer regras de engajamento ao lidar com divulgações de vulnerabilidades de terceiros, incluindo regras sobre divulgações aceitáveis ​​e exceções, diz ele.

2. Implementar um programa interno de gerenciamento de vulnerabilidade

Independentemente de você esperar receber alguma informação ou dado de inteligência de segurança de uma fonte externa, é sempre uma boa ideia ter um programa formal de segurança de aplicativos e gerenciamento de vulnerabilidades implementado internamente, diz Lindstrom. É importante que as organizações implementem as melhores práticas, como varredura regular de vulnerabilidade e aplicação de patches de segurança para reduzir o risco e também a probabilidade de terceiros encontrarem e relatarem vulnerabilidades. “Você deve procurar ativamente e tornar isso uma parte importante do seu programa de segurança”, diz ele. “Você precisa se organizar internamente antes de começar a pensar em se envolver com pesquisadores externos.”

“Além disso, é uma boa prática para as organizações realizar testes de simulação em cenários de exemplo que podem ser específicos do produto, até envolver a equipe executiva e o conselho jurídico, dependendo,” diz Hellickson. “Os chamados “tabletop exercises” também são uma grande fonte de educação de conscientização sobre segurança”, pois geram debates consistentes e com ideias e soluções que podem ser aproveitadas.

3. Incluir um mecanismo para responder a dicas externas em seu processo de gerenciamento de incidentes

Certifique-se de que sua equipe de gerenciamento de incidentes tenha um plano para responder às divulgações de segurança de entidades externas, como caçadores de “bugs” e falhas, parceiros de negócios, policiais ou clientes. Assim como uma equipe de tratamento de incidentes corporativos tem processos para responder a alertas recebidos de ferramentas de segurança internas, sistemas de computação, sensores de rede e outras fontes, eles precisam ter um para investigar e responder a um dado ou informação de inteligência de segurança de uma fonte externa, diz Hellickson. “Todo tratamento de incidentes e processo de resposta deve ter um processo claramente definido para priorizar, examinar e fazer a triagem de qualquer fonte de inteligência até o ponto de resolução.”

O processo deve ter procedimentos de escalonamento definidos incorporados, onde os membros da equipe são identificados com antecedência para sua função e deveres para tais incidentes, diz Hellickson. Dada a abundância de ataques cibernéticos, toda organização deve ter um plano definido de tratamento e resposta a incidentes que detalha o processo passo a passo para receber informações sobre um possível incidente e para fazer a triagem de forma adequada.

As equipes de gerenciamento de incidentes precisam estar prontas para largar tudo, se necessário, para responder a uma divulgação de vulnerabilidade no código de produção, diz Kevin Dunne, presidente da Pathlock. “Se não forem resolvidas, essas vulnerabilidades serão frequentemente vendidas no mercado negro e podem ser exploradas se não corrigidas rapidamente.”

4. Esteja preparado para envolver várias partes interessadas

A TI ou a organização de segurança deve ser responsável pelo endereço de e-mail ou número de telefone que recebe dicas de uma fonte externa. Eles também estão na melhor posição para investigar e corrigir quaisquer problemas relatados. No entanto, é importante ter um plano para incluir rapidamente membros de outros grupos da empresa, se necessário. Isso porque não há como saber como os eventos podem se desenrolar ao se envolver com um pesquisador de segurança externo ou caçador de bugs, diz Lindstrom.

Por exemplo, é possível que um pesquisador queira ser compensado por divulgar uma vulnerabilidade – especialmente se uma organização não tiver uma política claramente definida para lidar com tais divulgações. Em tal situação, a equipe de segurança pode precisar de alguém do departamento jurídico disponível para negociar com o pesquisador.

Divulgações de vulnerabilidades que não são tratadas com cuidado podem prejudicar a reputação e a marca de uma organização, portanto, pode ser uma boa contar também com membros da equipe de comunicação e marketing pode ser útil, diz Lindstrom. “Há muitas partes envolvidas, quando se trata de lidar com divulgações de vulnerabilidade”, diz ele. “Grande parte do risco gira em torno do aspecto de comunicação e reputação de tudo isso.”

5. Considere se inscrever em um programa gerenciado de coordenação de vulnerabilidade / recompensa por bug ou falha

Grandes organizações e aquelas com grande perfil público devem considerar se inscrever em organizações como HackerOne e BugCrowd, que coordenam divulgações de vulnerabilidades. Esses programas oferecem às partes externas um local para relatar descobertas de vulnerabilidades ou violações de privacidade de maneira responsável.

Os programas de divulgação de vulnerabilidades oferecem às organizações uma ótima maneira de terceirizar todo o problema, afirma Crawford, da S&P Global Intelligence. Embora esses programas não eliminem a necessidade de uma capacidade de resposta a incidentes internos bem definida, eles podem ajudar a lidar com todos os processos iniciais de recebimento e resposta a pesquisadores de vulnerabilidade externos e comunicação com eles. Os programas oferecem a pesquisadores terceirizados e caçadores de bugs uma maneira estruturada de encontrar bugs nos aplicativos e serviços de uma organização de forma a minimizar o risco para as organizações, diz ele.

Muitas empresas hoje solicitam informações de pesquisadores terceirizados independentes por meio de recompensas de bug publicadas ou programas de vulnerabilidade, diz Dunne. “As empresas que podem solicitar informações com mais facilidade geralmente são aquelas que têm um ou mais serviços voltados ao consumidor. Portanto, setores como hotelaria, varejo, viagens e financiamento ao consumidor costumam ter os programas mais fortes”, diz ele.

“As organizações que recebem dados e informações de inteligência não solicitadas de pesquisadores terceirizados, e não têm um processo para reconhecê-las formalmente, devem considerar seriamente colocar um em prática”, diz Dunne. Mesmo que sua organização não forneça uma recompensa por explorações identificadas e vulnerabilidades, é uma boa ideia ter um plano para responder e reconhecer divulgações e para comunicar planos de remediação para pesquisadores e clientes. “Quando explorações são relatadas, mas nada é feito, é ruim para o negócio”, diz ele. Falhar ao reconhecer essas vulnerabilidades relatadas, simplesmente transmite a ideia que a organização não está levando a segurança a sério e não valoriza os dados de seus clientes.”

6. Defina claramente o escopo ao solicitar inteligência sobre ameaças

As empresas que contratam um programa de divulgação de vulnerabilidade ou solicitam inteligência de pesquisadores independentes e caçadores de bugs devem pensar cuidadosamente em várias questões críticas, diz Dunne. Por exemplo, eles precisam decidir se querem tornar o programa público para todos ou apenas para pesquisadores selecionados. Eles precisam identificar os tipos de problemas de segurança ou privacidade que estão mais interessados ​​em descobrir. Eles precisam ter um plano com antecedência para testar um problema de segurança relatado. “Os testes serão feitos no ambiente de produção? Ou em um clone de produção separado que é mantido para os pesquisadores?” Dunne questiona.

Da mesma forma, eles devem decidir com antecedência se estão dispostos a oferecer uma recompensa ou outra compensação por uma divulgação de vulnerabilidade e se essa recompensa será uma taxa fixa ou será escalonada com base na gravidade de um problema. “É mais do que o pesquisador poderia ganhar vendendo no mercado negro?”

Posts relacionados: 10 dicas úteis de segurança para proteger seu ambiente AWS / 5 dicas para maximizar a eficácia de suas soluções EDR e Como proceder em caso de vazamento de dados – dicas para os agentes e titulares de dados pessoais

Informações obtidas/adaptadas de 6 tips for receiving and responding to third-party security disclosures