Cash for Code: Does it Work?

Pada bulan Agustus 2002, iDefense mengumumkan Kerentanan belum pernah terjadi sebelumnya dan kontroversial Kontributor Program (VCP). Didirikan untuk memenuhi kebutuhan pasar, VCP melindungi infrastruktur informasi penting dalam organisasi dari semua sektor terhadap kejadian yang belum pernah terjadi serangan cyber. Model ini dirancang karena ada - dan di masa mendatang akan menjadi - sebuah kebutuhan untuk solusi yang tepat waktu dan proaktif untuk mencegah kerusakan sebelum terjadi.
The VCP menyentuh banyaknya pengetahuan tentang kerentanan keamanan yang belum-yang tidak diungkapkan, eksploitasi dan kode berbahaya yang ditemukan oleh individu dan kelompok keamanan. Beberapa ini dapat diungkapkan pada daftar yang berhubungan dengan keamanan informasi mail, atau sebagai hasil dari analisis post-mortem dari sebuah sistem komputer dikompromikan. Dalam istilah sederhana, program ini solicits informasi pada kerentanan baru dari para peneliti bersedia untuk perdagangan kecerdasan mereka untuk pembayaran.
Sejak peluncuran program, perdebatan antara pengamat industri, organisasi keamanan, anggota bawah tanah hacker dan vendor telah berkecamuk keras dan luas. Sekarang, lebih dari setahun kemudian, VCP yang tidak kalah kontroversial, seperti yang saya alami tangan pertama saat menghadiri tahun 2003 Brifing Black Hat dan 11 DefCon peristiwa. Kedua konferensi keamanan memberikan saya sebuah forum yang bagus untuk berbicara dengan para pendukung program dan kritikus, dan terus terang untuk membahas manfaat dan risiko dari program dalam semangat komitmen bersama untuk internet lebih aman.
Jadi, apa masalah dan yang merupakan pemain yang memiliki kepentingan? Di satu sisi, ada komunitas keamanan pada umumnya - kolam sumber daya yang iDefense keran untuk informasi. Di sisi lain adalah konsumen dari informasi - mereka yang bergantung pada informasi tepat waktu dan ditindaklanjuti. Kelompok-kelompok ini memiliki posisi kutub pada cara tepat untuk mengungkapkan kerentanan. Puritan merasa pengungkapan penuh setiap masalah potensial adalah cara terbaik untuk pergi, sementara beberapa anggota komunitas topi hitam menentang ide membayar untuk kerentanan dan mengeksploitasi kode yang beredar di bawah tanah hacker. Seperti masalah apapun, ada tingkat besar wilayah abu-abu di sekitar seluruh proses secara bertanggung jawab mengungkapkan kerentanan terhadap vendor yang produknya terkena ancaman, memberikan klien sebuah sistem peringatan dini dan menjaga topi hitam di teluk.
iDEFENSEs VCP adalah program pertama industrys yang mencoba untuk menyeimbangkan semua sisi dengan tetap benar kepada pelanggan ketika sedang bertanggung jawab kepada vendor dan komunitas internet di-besar. Setelah pemberitahuan dari ancaman baru yang potensial, iDefense Labs, kelompok R & D dalam perusahaan, tes dan memverifikasi informasi yang disampaikan dalam lingkungan yang terkendali.
VCP membayar peneliti keamanan untuk pemberitahuan sebelum informasi yang dirahasiakan setelah telah diverifikasi sebagai ancaman yang sah. Setelah iDefense Labs menelaah informasi yang disampaikan, kami bernegosiasi jumlah pembayaran dengan kontributor, dan setuju untuk menyebutkan apakah dia / dia atau memberikan anonimitas. Setelah pengaturan untuk pembayaran telah disepakati, kami bekerja dengan kontributor untuk menentukan proses penjual pemberitahuan yang sesuai. iDefense secara bersamaan memberitahukan pelanggan dan vendor yang terkena dampak dari informasi yang diungkapkan, dan merencanakan strategi mitigasi yang dapat digunakan sampai patch vendor yang dikeluarkan. Juga, semua pelanggan iDefense berada di bawah ketat perjanjian non-disclosure yang melarang mereka untuk mengungkapkan informasi yang diberikan, sehingga memberikan waktu untuk vendor untuk membuat patch sebelum cacat baru dapat diubah menjadi eksploitasi.
Dengan menyederhanakan proses pemberitahuan vendor, meneliti kode eksploitasi, dan menyediakan pelanggan dengan strategi mitigasi, iDefense memberikan kontribusi untuk mengamankan inisiatif perangkat lunak dengan permukaan eksploitasi bawah tanah banyak yang tidak akan dinyatakan telah dibuat publik atau dibawa ke perhatian vendor - sampai sudah terlambat. Untuk memastikan proses penuh dan adil untuk penyebarluasan ancaman, kami telah menerbitkan kebijakan pengungkapan kami untuk semua pihak untuk mengkaji dan memahami.
Sampai saat ini, VCP sudah sangat sukses, program ini telah digali lebih dari 200 kerentanan baru yang telah diserahkan oleh puluhan kontributor di seluruh dunia. Karena jumlah kerentanan meningkat setiap tahun, todays teknologi-satunya pendekatan, yaitu penggunaan firewall, sistem deteksi intrusi, dan anti-virus, tidak akan cukup. VCP ini menawarkan sebuah jendela pada evolusi solusi keamanan informasi, memberikan program adil dan bertanggung jawab yang memungkinkan untuk pengungkapan kerentanan baru. Ini adalah landasan hari esok platform keamanan multi-tier dan kerangka kerja manajemen pengetahuan - memberikan intelijen canggih untuk membela organisasi, semakin penting sebagai zero-day exploit alat tenun di cakrawala keamanan cyber.

sources EN ; http://www.eweek.com