Pengungkapan
Secara Lengkap
Pengungkapan secara lengkap berarti banyak hal yang berbeda tergantung pada orang yang Anda ajak berbicara dengan
kerentanan pada permainan. Apa
pengungkapan secara lengkap berarti bagi Anda? Di istilah buku teks, definisi
pengungkapan secara lengkap adalah proses menyebarkan luaskan informasi sebanyak mungkin mengenai kerentanan produk atau sistem sehingga korban potensial memiliki informasi yang sama sebagai potensi penyerang.
Sebuah pemberitahuan dari jenis
pengungkapan memastikan bahwa pengembang produk dan klien
dengan prapengetahuan kelemahan produk memiliki waktu yang diperlukan untuk melaksanakan tindakan defensif terhadap kerentanan sistem.
Ada empat cara utama calon korban memastikan sistem mereka menahan kerentanan setelah pengungkapan secara lengkap:
- Pertama adalah mengaktifkan sistem proteksi dengan mengembangkan dan menerapkan Intrusion Detection System (IDS) tanda tangan. IDS tanda tangan menyediakan deteksi amandari eksploitasi tersebut.
- Yang kedua yaitu perlindungan menerapkan memperbaiki sementara atau solusi seperti menutup layanan kerentanan atau memblokir lalu lintas sarana firewall.
- Ketiga yaitu deteksi oleh sistem administrasi yang memanfaatkan kode, adalah untuk memindai jaringan untuk sistem kerentanan atau untuk menguji kerentanan kemungkinan sistem belum ditambal.
Akhirnya, di sisi vendor, programer dari produk yang bersangkutan dapat meninjau struktur cacat dan berusaha untuk menghindari situasi serupa di pembangunan masa depan. Mereka yang mendukung pengungkapan lengkap berdebat beberapa keuntungan untuk
proses ini. Bagian ini membahas pengungkapan lengkap dari titik etis pandang konservatif dan liberal.
Etis Penanganan Keamanan
Kerentanan - Siapa yang Anda Beritahu?
Anda adalah seorang
insinyur jaringan konsultan yang melakukan diagnosa pada suatu pekerjaan. Anda mempunyai kerentanan
parah dalam firewall yang dibeli dari
solusi vendor. Menanggapi
kerentanan ini, Anda menginstal solusi, firewall baru yang lebih aman dari vendor lain. Apa yang Anda lakukan dengan informasi kerentanan yang Anda miliki tentang produk lainnya?
Konservatif
Panggil
rekan kerja Anda dan memperingatkan mereka dari masalah. Segera memberitahukan Computer Emergency Response Team (CERT) dari kerentanan sehingga mereka dapat memberitahu vendor dan mempublikasikan fakta-fakta setelah vendor telah mempunyai masalah yang pasti dan diungkapkan kelemahan produknya sendiri. menghindari langsung
menerbitkan kerentanan untuk melindungi vendor reputasi dan Anda sendiri, karena bisnis Anda menggunakan solusi vendor dan rentan.
Liberal
Peringatkan semua orang yang Anda tahu. Lakukan
pengungkapan penuh, karena CERT adalah lambat dalam mengeluarkan peringatan yang tepat dan banyak bisnis mungkin
mengalami bahaya hack
untuk sementara. Cari seorang peneliti terkenal yang bersedia untuk mempublikasikan kerentanan. Pengungkapan penuh adalah jawaban yang tepat
karena memotivasi vendor untuk menyediakan tambalan tepat
waktu atau solusi baru untuk
kerentanan. Jika vendor gagal untuk menyediakan tepat waktu dan memperbaiki
kerentanan penuh dengan pengungkapan publik, media negatif yang dihasilkan akan menyebabkan kerusakan
pada vendor reputasi dan pendapatan. Selanjutnya, untuk menghindari negatif di masa
depan
media, Anda akan memaksa vendor untuk memproduksi perangkat lunak yang lebih
baik untuk menghindari hal ini jenis media kedua kalinya.
Melakukan Pengungkapan Kendali -
Berapa banyak yang sudah tahu lainnya ?
Anda akan melakukan pengungkapan lengkap termasuk kode script dan rincian lainnya tentang
kelemahan keamanan dalam memanfaatkan sistem
browser Internet bisnis anda. Anda berpendapat
bahwa Anda harus sepenuhnya mengungkapkan semua informasi karena Anda mengasumsikan
organisasi seperti Black Hat telah memiliki informasi dan Anda ingin vendor
dan klien untuk memiliki informasi ini untuk menangkap setiap
kerusakan yang disebabkan oleh serangan berbahaya. Apakah Anda benar dalam
asumsi ini?
Konservatif
Meskipun
benar bahwa masyarakat topi hitam berbakat kemungkinan
memiliki pengetahuan sebelumnya dari eksploitasi, bukan gerombolan naskah
anak-anak. Sepenuhnya
mengungkapkan kerentanan termasuk kode dieksploitasi, lengan naskah anak-anak dengan senjata. Setelah pengungkapan penuh, naskah anak-anak
akan memiliki mengeksploitasi otomatis dan dapat melancarkan serangan terhadap
siapa pun di masyarakat yang memanfaatkan browser yang bersangkutan. Bahkan jika naskah
anak-anak
tidak menyadari dari setiap pengetahuan teknis, mereka mungkin memiliki apa
yang mereka perlu melancarkan serangan dari pengungkapan. Selain itu, jika mampu topi hitam tidak dimiliki pengetahuan sebelumnya dari kerentanan baru,
pengungkapan penuh tetes informasi ini di pangkuan mereka dan membuatnya lebih mudah untuk
mereka untuk mengembangkan kode dieksploitasi dan alat-alat otomatis.
Liberal
pendukung pengungkapan Kendali berasumsi bahwa
komunitas hacker topi hitam sudah menyadari kerentanan produk dengan sifat dari topi hitam organisasi. Dengan penuh informasi kerentanan mengungkapkan,
administrator sistem rentan memperoleh data yang diperlukan untuk mengambil netral
dan memberikan tindakan perlindungan. Pengungkapan penuh sangat penting
sehingga administrator dan programmer sepenuhnya memahami kerentanan dalam rangka mencegah dan membela terhadap sistem pengungkapannya. Melalui kelengkapan, administrator dan programer memperoleh akses ke rincian teknis penuh dari kerentanan dan akibatnya dapat mengambil tindakan defensif yang tepat.
Tidak ada komentar:
Posting Komentar