Cloud Security

Zero Day Initiative abbatte i tempi per la notifica delle vulnerabilità

di pubblicata il , alle 11:41 nel canale Security Zero Day Initiative abbatte i tempi per la notifica delle vulnerabilità

La qualità delle patch pubblicate dai produttori software è in costante calo, fatto che rende le aziende più vulnerabili e porta anche a un aumento dei costi. Per questo motivo, ZDI ha deciso di ridurre i tempi di divulgazione nel caso di patch fallate

 

Zero Day Initiative, il programma internazionale di Trend Micro per remunerare i ricercatori che scoprono vulnerabilità nei software e sistemi operativi, ha ridotto i tempi per rendere pubbliche le problematiche di sicurezza. Storicamente, l'azienda offre ai vendor 180 giorni per rimediare alle falle di sicurezza individuate, termine che è stato abbassato a 120 giorni. Sono stati introdotti anche nuovi termini temporali per le "failed patch", quelle che non risolvono del tutto i problemi, che verranno monitorate con maggiore attenzione da ZDI. Per i problemi più gravi, per esempio quando la patch può essere aggirata facilmente da un attaccante, il tempo è stato abbassato a 30 giorni, che diventano 60 per i casi meno "critici". 

La qualità delle patch di sicurezza è in calo

Il motivo della decisione, come spiega Brian Gorenc, Director of Vulnerability Research di Trend Micro, in questo post, è dovuto al preoccupante calo della qualità delle patch che ZDI ha potuto osservare. "Negli ultimi anni" - spiega Gorenc - "abbiamo notato un trend preoccupante: un calo nella qualità delle patch e una minore comunicazione. A causa di questi fattori, le aziende faticano a stimare correttamente il rischio al quale sono esposti i loro sistemi". Non solo: le patch di bassa qualità rappresentano un costo aggiuntivo per le imprese, dato che si perde tempo a installare ulteriori aggiornamenti che vanno a rimediare ai problemi non risolti in precedenza. 

Twitter+Image+-+Patch+Blog-30_60_90+Days

Nel caso di patch incomplete, ora ZDI dà ai produttori di software 30 giorni di tempo per correggere i bug prima di pubblicare informazioni su vulnerabilità critiche che si pensa possano essere attivamente sfruttate dagli attaccanti, 60 nel caso di attacchi possibili e 90 nel caso non si intraveda il rischio di vedere sfruttata a breve la vulnerabilità. 

ZDI ha inoltre creato un nuovo account Twitter, @thezdibugs, dove pubblicherà informazioni su vulnerabilità estremamente critiche o bug 0-day. 

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^